sección at 801 - Colegio de Contadores de Chile

Transcripción

La presente Sección de Atestiguación AT 801 fue aprobada por el Consejo
Nacional del Colegio de Contadores de Chile A.G., en su sesión ordinaria del
día 21 de julio de 2011, de acuerdo a las atribuciones contenidas en el
Artículo Nº 13.11 del Estatuto del Colegio (Art. 13°, letra (g) de la Ley Nº
13.011).
SECCIÓN AT 801
Informar sobre los Controles en una Organización de Servicios
Introducción
Alcance de esta Sección
1.
Esta Sección trata los exámenes efectuados por un auditor de organizaciones de servicios
para informar sobre los controles en organizaciones que proporcionan servicios a entidades
usuarias cuando sea probable que esos controles sean pertinentes al control interno de las
entidades usuarias sobre el proceso de preparación y presentación de información
financiera. Complementa a la Sección AU 324 Organizaciones de Servicios en que los
informes preparados de acuerdo con esta Sección pueden proporcionar evidencia apropiada
de acuerdo con la Sección AU 324. (Ver párrafo A1)
2.
El enfoque de esta Sección es sobre los controles en organizaciones de servicio que
probablemente sean pertinentes al control interno de las entidades usuarias respecto al
proceso de preparación y presentación de información financiera. Las guías aquí
presentadas pueden ser de ayuda a un profesional que efectúe un trabajo de acuerdo con la
Sección AT 101, Trabajos de Atestiguación, para informar sobre los controles en una
organización de servicios:
a. distintos a aquellos que probablemente sean pertinentes al control interno de
financiera (por ejemplo, los controles que afectan al cumplimiento por entidades
usuarias con los requerimientos especificados en leyes, regulaciones, reglamentos,
contratos o subvenciones, o controles que afectan al control de producción o
control de calidad de las entidades usuarias). La Sección AT 601, Atestiguaciones
de Cumplimento, es aplicable si un profesional está informando sobre el
cumplimiento por la entidad con requerimientos especificados o sobre sus controles
del cumplimiento con requerimientos especificados. (Ver párrafos A2-A3)
b. cuando la Administración de la organización de servicios no es responsable por el
diseño del sistema (por ejemplo, cuando el sistema ha sido diseñado por la entidad
usuaria o el diseño está estipulado en un contrato entre la entidad usuaria y la
organización de servicios). (Ver párrafo A4)
3.
Un auditor de una organización de servicios, además de efectuar un examen de los
controles de una organización de servicios, puede ser contratado para (a) examinar e
informar sobre las transacciones o saldos de una entidad usuaria mantenidos por una
organización de servicios, o (b) efectuar e informar los resultados de procedimientos
acordados relacionados con los controles de una organización de servicios o con
transacciones o saldos de una entidad usuaria mantenidos por una organización de
servicios. Sin embargo, estos trabajos no son tratados en esta Sección.
4.
En esta Sección los requerimientos y guías de aplicación, están basados sobre la premisa
que la Administración de la organización de servicios (también referida como
Administración) proporcionará al auditor de la organización de servicios con una
afirmación escrita que es incluida en o adjuntada a la descripción por la Administración del
sistema de la organización de servicios. El párrafo 10 de esta Sección trata las
circunstancias en que la Administración se rehúsa a proporcionar tal afirmación escrita. La
Sección AT 101 indica que al efectuar un trabajo de atestiguación, un profesional puede
informar directamente sobre la materia a evaluar o sobre la afirmación de la
Administración. En el caso de trabajos efectuados de acuerdo con esta Sección, se requiere
que el auditor de la organización de servicios informe directamente sobre la materia a
evaluar.
Fecha de vigencia
5.
Esta Sección tiene vigencia para los informes de auditores de organizaciones de servicios
para los períodos terminados el o con posterioridad al 15 de junio de 2011. Está permitida
su aplicación anticipada.
Objetivos
6.
Los objetivos del auditor de una organización de servicios son:
a. obtener una seguridad razonable respecto a si, en todos sus aspectos significativos,
basado en criterios adecuados
i. la descripción por la Administración del sistema de la organización de
servicios presenta razonablemente al sistema que fue diseñado e
implementado durante todo el período especificado (o en el caso de un
informe Tipo 1, a una fecha especificada).
ii. los controles relacionados con los objetivos del control indicados en la
descripción por la Administración del sistema de la organización de
servicios, fueron adecuadamente diseñados durante todo el período
especificado (o en el caso de un informe Tipo 1, a una fecha especificada).
iii. cuando fueron incluidos en el alcance del trabajo, los controles operaron
con efectividad para proporcionar una seguridad razonable que los
objetivos de control indicados en la descripción de la Administración del
sistema de la organización de servicios, fueron logrados durante todo el
período especificado.
b. informar sobre los asuntos en 6(a) de acuerdo con los hallazgos del auditor de la
organización de servicios.
Definiciones
7.
Para los propósitos de esta Sección, los siguientes términos tienen los significados que se
indican a continuación:
Método de exclusión. Es el método de tratar los servicios proporcionados por una
organización de sub-servicios, mediante el cual la descripción por la Administración del
sistema de la organización de servicios identifica la naturaleza de los servicios
proporcionados por la organización de sub-servicios y excluye de la descripción y del
alcance del trabajo del auditor de la organización de servicios, a los objetivos de control y
controles relacionados pertinentes a la organización de sub-servicios. La descripción por la
Administración del sistema de la organización de servicios y el alcance del trabajo del
auditor de la organización de servicios incluye a los controles en la organización de
servicios que monitorean la efectividad de los controles en la organización de sub-servicios,
los cuales pueden incluir la administración de la revisión por parte de la organización de
servicios de un informe de un auditor de una organización de servicios sobre los controles
en la organización de sub-servicios.
Controles complementarios de la entidad usuaria. Los controles que la Administración de
la organización de servicios asume, serán implementados por las entidades usuarias en el
diseño del servicio proporcionado por la organización de servicios, los cuales, si fuere
necesario para alcanzar los objetivos de control indicados en la descripción por la
Administración del sistema de la organización de servicios, son identificados como tales en
esa descripción.
Objetivos de control. El objetivo o propósito de controles especificados en la organización
de servicios. Los objetivos de control tratan los riesgos que los controles tienen por objetivo
mitigar.
Controles en una organización de servicios. Las políticas y procedimientos en una
organización de servicios que probablemente sean pertinentes al control interno de las
financiera. Estas políticas y procedimientos son diseñados, implementados y documentados
por la organización de servicios para proporcionar una seguridad razonable respecto al
logro de los objetivos de control que son pertinentes a los servicios cubiertos por el informe
del auditor de la organización de servicios. (Ver párrafo A5)
Controles en una organización de sub-servicios. Las políticas y procedimientos en una
organización de sub-servicios que probablemente sean pertinentes al control interno de las
entidades usuarias de la organización de servicios sobre el proceso de preparación y
presentación de información financiera. Estas políticas y procedimientos son diseñados,
implementados y documentados por la organización de sub-servicios para proporcionar una
seguridad razonable respecto al logro de los objetivos de control que son pertinentes a los
servicios cubiertos por el informe del auditor de la organización de servicios. (Ver párrafo
A6)
Criterios. Las normas o parámetros utilizados para medir y presentar la materia a evaluar y
contra los cuales el auditor de la organización de servicios evalúa tal materia. (Ver párrafo
A6)
Método inclusivo. El método de tratar los servicios proporcionados por una organización de
sub-servicios mediante el cual la descripción por la Administración del sistema de la
organización de servicios incluye una descripción de la naturaleza de los servicios
proporcionados por la organización de sub-servicios como asimismo, los objetivos de los
controles y controles relacionados pertinentes de la organización de sub-servicios. (Ver
párrafos A7-A9)
Función de auditoría interna. Los auditores internos de la organización de servicios y
otros, por ejemplo, los miembros de un departamento de cumplimiento o de riesgo, quienes
efectúan actividades similares a aquellas efectuadas por los auditores internos. (Ver párrafo
A10)
Informe sobre la descripción por la Administración del sistema de una organización de
servicios y lo adecuado del diseño de los controles (referido en esta Sección como un
informe Tipo 1). Un informe que comprende lo siguiente:
a. La descripción por la Administración del sistema de la organización de servicios.
b. Una afirmación escrita por la Administración de la organización de servicios
respecto a si, en todos sus aspectos significativos y a base de criterios adecuados,
servicios presenta razonablemente al sistema de la organización de
servicios que fue diseñado e implementado a contar de una fecha
especificada.
ii. los controles relacionados con los objetivos de control indicados en la
servicios, fueron diseñados adecuadamente para lograr esos objetivos de
control a la fecha especificada.
c. Un informe de un auditor de una organización de servicios que exprese una opinión
sobre los asuntos en (b)(i)–(b)(ii).
Informe sobre la descripción por la Administración del sistema de una organización de
servicios y de lo adecuado del diseño y de la efectividad operacional de los controles
(referido en esta Sección como un informe Tipo 2). Un informe que comprende lo
siguiente:
a. La descripción por la Administración del sistema de la organización de servicios.
b. Una afirmación escrita por la Administración de la organización de servicios
respecto a si en todos los aspectos significativos y a base de criterios adecuados,
servicios presenta razonablemente al sistema de la organización de
servicios que fue diseñado e implementado durante todo el período
especificado.
servicios fueron adecuadamente diseñados durante todo el período
especificado para lograr esos objetivos de control.
iii. los controles relacionados con los objetivos de control indicados en la
servicios, operaron con efectividad durante todo el período especificado
para lograr esos objetivos de control.
c. Un informe de un auditor de una organización de servicios que
i. exprese una opinión sobre los asuntos en (b)(i) –(b) (ii)
ii. incluye una descripción de las pruebas de controles y los resultados de los
mismos.
Auditor de una organización de servicios. Un profesional que informa sobre los controles
en una organización de servicios.
Organización de Servicios. Una organización o segmento de una organización que
proporciona servicios a entidades usuarias, que probablemente serán pertinentes para el
control interno sobre el proceso de preparación y presentación de información financiera
por esas entidades usuarias.
Afirmación por una organización de servicios. Una afirmación escrita respecto a los
asuntos mencionados en la parte (b) de la definición del Informe sobre la descripción por la
Administración del sistema de una organización de servicios y de lo adecuado del diseño y
de la efectividad operacional de los controles, para el caso de un informe Tipo 2 y para un
informe de Tipo 1, los asuntos mencionados en la parte (b) de la definición del Informe
sobre la descripción por la Administración del sistema de una organización de servicios y
de lo adecuado del diseño de los controles.
Sistema de una organización de servicios. Las políticas y procedimientos diseñados,
implementados y documentados por la Administración de la organización de servicios para
proporcionar a las entidades usuarias con los servicios cubiertos por el informe del auditor
de la organización de servicios. La descripción por la Administración del sistema de la
organización de servicios identifica los servicios proporcionados, el período al cual se
relaciona la descripción (o en el caso de un informe Tipo 1, la fecha a la cual se relaciona la
descripción), los objetivos de control especificados por la Administración o por un tercero,
la parte que especifica los objetivos de control (si no fueran especificados por la
Administración) y los controles relacionados. (Ver párrafo A11)
Organización de sub-servicios. Es una organización de servicios utilizada por otra
organización de servicios para efectuar algunos de los servicios proporcionados a entidades
usuarias que probablemente sean pertinentes al control interno de esas entidades usuarias
sobre el proceso de preparación y presentación de información financiera.
Pruebas de controles. Un procedimiento diseñado para evaluar la efectividad operacional
de los controles para lograr los objetivos de control indicados en la descripción por la
Administración del sistema de la organización de servicios.
Auditor de la entidad usuaria. Un auditor que audita e informa sobre los estados
financieros de una entidad usuaria.
Entidad usuaria. Una entidad que utiliza a una organización de servicios.
Requerimientos
La Administración y los Encargados del Gobierno Corporativo
8.
Cuando esta Sección requiere que el auditor indague, solicite representaciones de, se
comunique con o interactúe de otra manera con la Administración de la organización de
servicios, el auditor de la organización de servicios debiera determinar cuál es la persona o
personas apropiadas dentro de la Administración o de la estructura de gobierno corporativo
de la organización de servicios con quiénes interactuar. Esto debiera incluir la
consideración de quienes tienen las apropiadas responsabilidades por y el conocimiento de
los asuntos respectivos. (Ver párrafo A12).
Aceptación y Retención
9.
Un auditor de una organización de servicios debiera aceptar y retener un trabajo para
informar sobre los controles en una organización de servicios sólo si: (Ver párrafo A13)
a. el auditor de la organización de servicios tiene las habilidades y la competencia para
efectuar el trabajo. (Ver párrafos A14-A15)
b. el conocimiento preliminar del auditor de la organización de servicios respecto a las
circunstancias del trabajo indica que:
i. los criterios a ser utilizados serán adecuados y estarán disponibles para las
entidades usuarias determinadas y sus auditores;
ii. el auditor de la organización de servicios tendrá acceso a suficiente y
apropiada evidencia en la medida que fuere necesaria y
iii. el alcance del trabajo y la descripción por la Administración del sistema de
la organización de servicios no serán tan limitados que será improbable que
sean de utilidad para las entidades usuarias y sus auditores.
c. la Administración acepta los términos del trabajo reconociendo y aceptando su
responsabilidad por lo siguiente:
i. Preparar su descripción del sistema de la organización de servicios y su
afirmación, incluyendo la integridad, exactitud y método de presentación
de la descripción y de la afirmación. (Ver párrafo A16)
ii. Tener una base razonable para su afirmación. (Ver párrafo A17)
iii. Seleccionar los criterios a ser utilizados e indicarlos en la afirmación.
iv. Especificar los objetivos de control, indicándolos en la descripción del
sistema de la organización de servicios y, si los objetivos de control son
especificados por ley, regulación o por otra parte (por ejemplo, por un
grupo usuario o por un organismo profesional), identificar en la descripción
a la parte que especifica los objetivos de control.
v. Identificar los riesgos que amenazan el logro de los objetivos de control
indicados en la descripción y diseñar, implementar y documentar los
controles que están adecuadamente diseñados y operando con efectividad,
para proporcionar una seguridad razonable que los objetivos de control
indicados en la descripción del sistema de la organización de servicios
serán logrados. (Ver párrafo A18)
vi. Proporcionar al auditor de la organización de servicios:
(1) acceso a toda la información , tales como los registros y
documentación, incluyendo los acuerdos a nivel de servicios de los
cuales tiene conocimiento la Administración que sean pertinentes a
la descripción del sistema de la organización de servicios y a la
afirmación;
(2) información adicional que pueda solicitar el auditor de la
organización de servicios a la Administración con el propósito de
su examen;
(3) acceso sin restricciones al personal dentro de la organización de
servicios de quien el auditor de la organización de servicios
determine que sea necesario obtener evidencia pertinente al trabajo
de éste y
(4) representaciones escritas al término del trabajo.
vii. Proporcionar una afirmación escrita que será incluida en o adjuntada a la
servicios y proporcionada a las entidades usuarias.
10.
Si la Administración no va a proporcionar una afirmación escrita al auditor de la
organización de servicios, éste no debiera pasar por alto el requerimiento de obtener una
afirmación efectuando un trabajo como auditor de la organización de servicios de acuerdo
con la Sección AT 101. (Ver párrafo A19)
11.
El rehusar posteriormente por la Administración proporcionar una afirmación por escrito,
representa una limitación al alcance y, en consecuencia, el auditor de la organización de
servicios debiera retirarse del trabajo. Si una ley o regulación no permite que el auditor de
la organización de servicios se retire del trabajo, éste debiera abstenerse de opinar.
Solicitud para Cambiar el Alcance del Trabajo
12.
Si la Administración solicita un cambio en el alcance del trabajo antes de terminarse el
trabajo, el auditor de la organización de servicios debiera estar satisfecho, antes de aceptar
el cambio, que exista una justificación razonable para el cambio. (Ver párrafos A20-A21)
Evaluar lo Adecuado que son los Criterios
13.
Como lo requiere el párrafo 23 de la Sección AT 101, el auditor de la organización de
servicios debiera evaluar si la Administración ha utilizado criterios adecuados:
a. al preparar su descripción del sistema de la organización de servicios;
b. al evaluar si los controles fueron adecuadamente diseñados para lograr los objetivos
de control indicados en la descripción y
c. en el caso de un informe Tipo 2, al evaluar si los controles operaron con efectividad
durante todo el período especificado para lograr los objetivos de control indicados
en la descripción del sistema de la organización de servicios.
14.
Al evaluar lo adecuado que son los criterios para evaluar si la descripción por la
Administración del sistema de la organización de servicios está presentada razonablemente,
el auditor de la organización de servicios debiera determinar si los criterios incluyen como
mínimo:
a. si la descripción del sistema de la organización de servicios efectuada por la
Administración presenta como fue diseñado e implementado el sistema de la
organización de servicios, incluyendo la siguiente información respecto a éste, si
fuere aplicable:
i. Los tipos de servicios proporcionados, incluyendo, si fuere apropiado, las
clases de transacciones procesadas.
ii. Los procedimientos, dentro de los sistemas automatizados y manuales,
mediante los cuales son proporcionados los servicios, incluyendo, según
fuere apropiado, procedimientos por los cuales las transacciones son
iniciadas, autorizadas, registradas, procesadas, corregidas si fuere necesario
y traspasadas a los informes y otra información preparada por entidades
usuarias.
iii. Los registros contables relacionados, sean electrónicos o manuales y la
información sustentatoria involucrada en iniciar, autorizar, registrar,
procesar e informar transacciones. Esto incluye la corrección de
información incorrecta y de cómo la información es traspasada a los
informes y a otra información preparada para entidades usuarias.
iv. Cómo el sistema de la organización de servicios capta y trata a los hechos y
condiciones significativos distintos a las transacciones.
v. El proceso utilizado para preparar informes y otra información para las
entidades usuarias.
vi. Los objetivos de control y los controles diseñados para alcanzar esos
objetivos especificados incluyendo, cuando fuere aplicable, los controles
complementarios de la entidad usuaria considerados en el diseño de los
controles de la organización de servicios.
vii. Otros aspectos del entorno de control de la organización de servicios, el
proceso de evaluación de riesgos, sistemas de información y comunicación
(incluyendo los procesos de negocios relacionados), actividades de control
y el monitoreo de controles que son pertinentes a los servicios
proporcionados. (Ver párrafos A17 y A24)
b. en el caso de un informe Tipo 2, si la descripción por la Administración del sistema
de la organización de servicios incluye detalles pertinentes de cambios en el
sistema de la organización de servicios durante el período cubierto por la
descripción (Ver párrafo A44)
c. si la descripción por la Administración del sistema de la organización de servicios
no omite o distorsiona información pertinente al sistema de la organización de
servicios, a la vez reconociendo que la descripción por la Administración del
sistema de la organización de servicios está preparada para cumplir con las
necesidades normales de un amplio rango de entidades usuarias y sus auditores y,
pueden, por lo tanto, no incluir todos los aspectos de un sistema de una
organización de servicios que cada entidad usuaria individual y su auditor puedan
considerar importantes para su propio entorno en particular.
15.
Al evaluar lo adecuado que son los criterios para evaluar si los controles están diseñados
adecuadamente, el auditor de la organización de servicios debiera determinar, como
mínimo, si los criterios incluyen:
a. si han sido identificados por la Administración los riesgos que amenazan el logro de
los objetivos de control indicados en la descripción por la Administración del
sistema de la organización de servicios.
b. si los controles identificados en la descripción por la Administración del sistema de
la organización de servicios, de estar operando éste según la descripción,
proporcionan una seguridad razonable que esos riesgos no impedirían que los
objetivos de control indicados en la descripción fueren alcanzados.
16.
Al evaluar lo adecuado que son los criterios para evaluar si los controles operaron con
efectividad para proporcionar una seguridad razonable que fueron logrados los objetivos de
control indicados en la descripción por la Administración del sistema de la organización de
servicios, el auditor de una organización de servicios debiera determinar si los criterios
incluyen, como mínimo, si los controles fueron aplicados uniformemente de la forma en
que fueron diseñados durante todo el período especificado, incluyendo si los controles
manuales fueron aplicados por personas que tienen la competencia y autoridad apropiados.
Importancia relativa
17.
Al planificar y efectuar el trabajo, el auditor debiera evaluar la importancia relativa en
relación con la presentación razonable de la descripción por la Administración del sistema
de la organización de servicios, lo adecuado del diseño de los controles para lograr los
objetivos de control relacionados indicados en la descripción y, en el caso de un informe
Tipo 2, la efectividad operacional de los controles para lograr los objetivos de control
relacionados indicados en la descripción. (Ver párrafos A25-A27)
Obtener un Entendimiento del Sistema de la Organización de Servicios (Ver párrafos A28A30)
18.
El auditor de una organización de servicios debiera obtener un entendimiento del sistema de
la organización de servicios, incluyendo los controles que están incluidos en el alcance del
trabajo.
Obtener Evidencia Respecto a la Descripción por la Administración del Sistema de la
Organización de Servicios (Ver párrafos A26 y A31-A35)
19.
El auditor de una organización de servicios debiera obtener y leer la descripción por la
Administración del sistema de la organización de servicios y debiera evaluar si esos
aspectos de la descripción que están incluidos en el alcance del trabajo están
razonablemente presentados, incluyendo si:
a. los objetivos de control indicados en la descripción por la Administración del
sistema de la organización de servicios son razonables en las circunstancias (Ver
párrafo A34)
b. los controles identificados en la descripción por la Administración del sistema de la
organización de servicios fueron implementados (Ver párrafo A35)
c. los controles complementarios de la entidad usuaria, si hubieren, están
adecuadamente descritos (Ver párrafo A32)
d. los servicios efectuados por una organización de sub-servicios, si hubieren, están
adecuadamente descritos, incluyendo si el método inclusivo o el método de
exclusión ha sido utilizado en relación a ellos.
20.
El auditor de una organización de servicios debiera determinar mediante indagaciones
efectuadas en combinación con otros procedimientos si el sistema de la organización de
servicios ha sido implementado. Tales otros procedimientos debieran incluir la observación
e inspección de registros y de documentación de la manera en que el sistema de la
organización de servicios opera y cómo son aplicados los controles. (Ver párrafo A35)
Obtener Evidencia Respecto al Diseño de los Controles (Ver párrafos A26 y A36-A39)
21.
El auditor de una organización de servicios debiera determinar cuáles controles en la
organización de servicios son necesarios para lograr los objetivos de control indicados en la
descripción por la Administración del sistema en la organización de servicios y debiera
evaluar si esos controles fueron diseñados adecuadamente para lograr los objetivos de
control:
a. identificando los riesgos que amenazan el logro de los objetivos de control
indicados en la descripción por la Administración del sistema de la organización de
servicios y (Ver párrafo A36)
b. evaluando la conexión de esos riesgos con los controles identificados en la
descripción por la Administración del sistema de la organización de servicios.
Obtener Evidencia Relacionada con la Efectividad Operacional de los Controles (Ver párrafos
A26 y A40-A45)
Evaluar la Efectividad Operacional
22.
Al efectuar un trabajo de Tipo 2, el auditor de una organización de servicios debiera
efectuar pruebas de esos controles que el auditor de una organización de servicios ha
determinado como necesarios para lograr los objetivos de control indicados en la
descripción por la Administración del sistema de la organización de servicios y debiera
evaluar su efectividad operacional durante todo el período. La evidencia obtenida en
trabajos anteriores respecto a la operación satisfactoria de los controles en períodos
anteriores no proporciona una base para reducir las pruebas, aún cuando estén
complementadas con evidencia obtenida durante el período actual. (Ver párrafos A40-A44)
23.
Al efectuar un trabajo Tipo 2, el auditor de una organización de servicios debiera indagar
respecto a cambios en los controles de la organización de servicios que fueron
implementados durante el período cubierto por el informe del auditor de una organización
de servicios. Si el auditor de una organización de servicios cree que los cambios serían
considerados significativos por las entidades usuarias y sus auditores, el auditor de una
organización de servicios debiera determinar si esos cambios están incluidos en la
descripción por la Administración del sistema de la organización de servicios. Si tales
cambios no están incluidos en la descripción, el auditor de una organización de servicios
debiera describir los cambios en el informe del auditor de una organización de servicios y
determinar el efecto sobre su informe. Si los controles reemplazados son pertinentes al
logro de los objetivos de control indicados en la descripción, el auditor de una organización
de servicios debiera, si fuere posible, efectuar pruebas de los controles reemplazados antes
del momento de su cambio. Si el auditor de una organización de servicios no puede efectuar
pruebas de los controles reemplazados pertinentes al logro de los objetivos de control
indicados en la descripción, el auditor de una organización de servicios debiera determinar
el efecto sobre su informe. (Ver párrafos A42(c) y A45)
24.
Al diseñar y efectuar pruebas de los controles el auditor de una organización de servicios
debiera:
a. efectuar otros procedimientos en combinación con las indagaciones para obtener
evidencia de lo siguiente:
i. cómo fue aplicado el control.
ii. la uniformidad con la cuál fue aplicado el control
iii. por quién y por cuáles medios fue aplicado el control
b. determinar si los controles a ser sometidos a pruebas dependen de otros controles y,
si así fuere, si es necesario obtener evidencia que respalde la efectividad
operacional de esos otros controles
c. determinar un método efectivo para seleccionar las partidas a ser sometidas a
pruebas para cumplir los objetivos del procedimiento.
25.
Al determinar el alcance de las pruebas de los controles y si el muestreo es apropiado, el
auditor de una organización de servicios debiera considerar las características del universo
de los controles a ser sometido a pruebas, incluyendo la naturaleza de los controles, la
frecuencia de su aplicación (por ejemplo, mensualmente, diariamente, varias veces al día) y
la tasa esperada de desviación. La Sección AU 350 Muestreo en Auditoría, trata cómo
planificar, efectuar y evaluar las muestras de auditoría. Si el auditor de una organización de
servicios determina que el muestreo es apropiado, éste debiera aplicar los requerimientos de
los párrafos 31-43 de la Sección AU 350, que tratan el muestreo en las pruebas de
controles. Los párrafos 1-14 y 45-46 de la Sección AU 350 proporcionan guías adicionales
respecto a los principios sobre los cuales están basados esos párrafos.
Naturaleza y Causa de las Desviaciones
26.
El auditor de una organización de servicios debiera investigar la naturaleza y la causa de
cualquier desviación identificada y debiera determinar si:
a. las desviaciones identificadas están dentro de la tasa esperada de desviación y son
aceptables. Si fuere así, las pruebas que se han efectuado proporcionan una base
apropiada para concluir que el control operó con efectividad durante todo el
período especificado
b. se requiere de pruebas adicionales del control o de los otros controles para llegar a
una conclusión respecto a si los controles relacionados con los objetivos de control
servicios operó con efectividad durante todo el período especificado
c. las pruebas que han sido efectuadas proporcionan una base apropiada para concluir
que el control no operó con efectividad durante todo el período especificado.
27.
Si, como resultado de efectuar los procedimientos del párrafo 26, el auditor de una
organización de servicios toma conocimiento que cualquier desviación identificada ha
resultado de actos intencionales por personal de la organización de servicios, el auditor de
una organización de servicios debiera evaluar el riesgo que la descripción por la
Administración del sistema de la organización de servicios no está presentada
razonablemente, los controles no están adecuadamente diseñados y en un trabajo Tipo 2, los
controles no están operando con efectividad. (Ver párrafo A31)
Utilizar el Trabajo de la Función de Auditoría Interna
Obtener un Entendimiento de la Función de Auditoría Interna (Ver párrafos A46-A47)
28.
Si la organización de servicios tiene una función de auditoría interna, el auditor de la
organización de servicios debiera obtener un entendimiento de la naturaleza de las
responsabilidades de la función de auditoría interna y de las actividades efectuadas, a objeto
de determinar si es probable que la función de auditoría interna sea pertinente al trabajo.
Planificar el Uso de la Función de Auditoría Interna
29.
Cuando el auditor de la organización de servicios tiene la intención de utilizar el trabajo de
la función de auditoría interna, éste debiera determinar si es probable que el trabajo de la
función de auditoría interna sea adecuado para los propósitos del trabajo, evaluando lo
siguiente:
a. La objetividad y competencia técnica de los miembros de la función de auditoría
interna.
b. Si es probable que el trabajo de la función de auditoría interna sea efectuado con
debido cuidado profesional.
c. Si es probable que tendrá lugar una comunicación efectiva entre la función de
auditoría interna y el auditor de la organización de servicios, incluyendo la
consideración del efecto de cualquier limitación o restricción sobre la función de
auditoría interna por parte de la organización de servicios.
30.
Si el auditor de la organización de servicios determina que el trabajo de la función de
auditoría interna probablemente será adecuado para los propósitos del trabajo, al determinar
el efecto planificado del trabajo de la función de auditoría interna sobre la naturaleza,
oportunidad o alcance de los procedimientos del auditor de la organización de servicios, el
auditor de la organización de servicios debiera evaluar lo siguiente:
a. La naturaleza y alcance del trabajo específico efectuado o por efectuar, por la
función de auditoría interna.
b. La importancia de ese trabajo para las conclusiones del auditor de la organización
de servicios.
c. El grado de subjetividad involucrado en la evaluación de la evidencia obtenida para
respaldar esas conclusiones.
Utilizar el Trabajo de la Función de Auditoría Interna (Ver párrafo A48)
31.
Para que el auditor de la organización de servicios utilice el trabajo específico de la función
de auditoría interna, el auditor de la organización de servicios debiera evaluar y efectuar
procedimientos sobre ese trabajo para determinar que sea adecuado para los propósitos del
auditor de la organización de servicios.
32.
Para determinar lo adecuado del trabajo específico efectuado por la función de auditoría
interna para los propósitos del auditor de la organización de servicios, el auditor de la
organización de servicios debiera evaluar si:
a. el trabajo fue efectuado por miembros de la función de auditoría interna que tienen
adecuado entrenamiento técnico y nivel de competencia
b. el trabajo fue supervisado, revisado y documentado correctamente
c. fue obtenida suficiente y apropiada evidencia para permitir a la función de auditoría
interna obtener conclusiones razonables
d. las conclusiones alcanzadas son apropiadas en las circunstancias y cualquier
informe preparado por la función de auditoría interna es consecuente con los
resultados del trabajo efectuado y
e. las excepciones pertinentes al trabajo o los asuntos inusuales revelados por la
función de auditoría interna han sido debidamente resueltos.
Efectos Sobre el Informe del Auditor de la Organización de Servicios
33.
Si el trabajo de la función de auditoría interna ha sido utilizado, el auditor de la
organización de servicios no debiera hacer referencia a ese trabajo en su opinión. No
obstante su grado de autonomía y objetividad, la función de auditoría interna no es
independiente de la organización de servicios. El auditor de la organización de servicios
tiene la responsabilidad única por la opinión expresada en su propio informe y, por lo tanto,
esa responsabilidad no se reduce por el uso del trabajo de la función de auditoría interna por
el auditor de la organización de servicios. (Ver párrafo A49)
34.
En el caso de un informe Tipo 2, si el trabajo de la función de auditoría interna ha sido
utilizado para efectuar pruebas de controles, esa parte del informe del auditor de la
organización de servicios que describe sus propias pruebas de controles y los resultados
obtenidos, debiera incluir una descripción del trabajo del auditor interno y de los
procedimientos del auditor de la organización de servicios con ese trabajo. (Ver párrafo
A50)
Ayuda Directa
35.
Cuando el auditor de la organización de servicios utiliza a miembros de la función de
auditoría interna de la organización de servicios para proporcionar ayuda directa, el auditor
de la organización de servicios debiera adaptar y aplicar los requerimientos del párrafo 27
de la Sección AU 322 La Consideración por el Auditor de la Función de Auditoría Interna
en una Auditoría de Estados Financieros.
Representaciones Escritas (Ver párrafos A51-A55)
36.
El auditor de la organización de servicios debiera solicitar a la Administración que
proporcione representaciones escritas que:
a. reafirmen su afirmación incluida en o adjuntada a la descripción del sistema de la
organización de servicios;
b. ha proporcionado al auditor de la organización de servicios con toda la información
pertinente y accesos acordados(1) y
c. ha revelado al auditor de la organización de servicios cualquiera de los siguientes
de los cuales tiene conocimiento:
i. Instancias de incumplimiento con leyes, regulaciones o errores no
corregidos atribuibles a la organización de servicios que puedan afectar a
una o más entidades usuarias
ii. Conocimiento de cualquier acto intencional por la Administración o por los
empleados de la organización de servicios actuales, sospechados o
presuntos, que podrían afectar adversamente a la razonabilidad de la
presentación de la descripción por la Administración del sistema de la
organización de servicios o a la integridad o logro de los objetivos de
control indicados en la descripción
iii. Deficiencias de diseño en los controles
iv. Instancias en que los controles no han operado como se ha descrito
v. Cualquier hecho posterior al período cubierto por la descripción por la
Administración del sistema de la organización de servicios hasta la fecha
del informe del auditor de la organización de servicios que podría tener un
efecto significativo sobre la afirmación de la Administración.
37.
Si una organización de servicios utiliza a una organización de sub-servicios y la descripción
por la Administración del sistema de la organización de servicios utiliza el método
inclusivo, el auditor de la organización de servicios debiera obtener de la Administración de
la organización de sub-servicios las representaciones escritas identificadas en el párrafo 36.
38.
Las representaciones escritas debieran tener el formato de una carta de representación
dirigida al auditor de la organización de servicios y debieran tener la misma fecha del
informe del auditor de la organización de servicios.
(1)
Ver párrafo 9(c) (vi) (1).
39.
Si la Administración no proporciona una o más representaciones escritas solicitadas por el
auditor de la organización de servicios, este debiera hacer lo siguiente:
a. Analizar el asunto con la Administración.
b. Evaluar el efecto que tal negativa tiene sobre la evaluación del auditor de la
organización de servicios respecto a la integridad de la Administración y evaluar el
efecto que ello puede tener sobre la fiabilidad de las representaciones de la
Administración y sobre la evidencia en general.
c. Adoptar acciones apropiadas, que pueden incluir abstenerse de opinar o retirarse del
trabajo.
Si la Administración se rehúsa proporcionar las representaciones de los párrafos 36(a) –
36(b) de esta Sección, el auditor de la organización de servicios debiera abstenerse de
opinar o retirarse del trabajo.
Otra Información (Ver párrafos A56–A57)
40.
El auditor de la organización de servicios debiera leer otra información, si hubiere, incluida
en un documento incorporando la descripción por la Administración del sistema de la
organización de servicios y el informe del auditor de la organización de servicios para
identificar faltas de uniformidad significativas, si hubieren, con esa descripción. Mientras
lea la otra información con el propósito de identificar faltas de uniformidad significativas,
el auditor de la organización de servicios puede tomar conocimiento de una aparente
representación incorrecta de hechos en la otra información.
41.
Si el auditor de la organización de servicios toma conocimiento de una falta de uniformidad
significativa o una aparente representación incorrecta de hechos en la otra información, el
auditor de la organización de servicios debiera analizar el asunto con la Administración. Si
el auditor de la organización de servicios concluye que existe una falta de uniformidad o
una representación incorrecta de hechos en la otra información que la Administración se
rehúsa a corregir, el auditor de la organización de servicios debiera tomar medidas
adicionales apropiadas. (2)
Hechos Posteriores
42.
(2)
El auditor de la organización de servicios debiera indagar respecto a si la Administración
tiene conocimiento de cualquier hecho posterior al período cubierto por la descripción por
la Administración del sistema de la organización de servicios hasta la fecha del informe del
auditor de la organización de servicios que podría tener un efecto significativo sobre la
afirmación de la Administración. Si el auditor de la organización de servicios toma
conocimiento a través de indagaciones o de otro modo, de tal hecho, o de cualquier otro
hecho que es de tal naturaleza e importancia que su revelación es necesaria para evitar que
los usuarios de un informe Tipo 1 o Tipo 2 sean inducidos a error e información sobre ese
hecho no es revelada por la Administración en su descripción, el auditor de la organización
de servicios debiera revelar tal hecho en el informe del auditor de la organización de
servicios.
Ver párrafos 91 – 94 de la Sección AT 101 Trabajos de Atestiguación.
43.
El auditor de la organización de servicios no tiene ninguna responsabilidad de mantenerse
informado de hechos posteriores a la fecha del informe del auditor de la organización de
servicios. Sin embargo, después de la emisión del informe del auditor de la organización de
servicios, el auditor de la organización de servicios puede tomar conocimiento de
condiciones que existían a la fecha del informe que podrían haber afectado a la afirmación
de la Administración y al informe del auditor de la organización de servicios, si el auditor
de la organización de servicios hubiere tenido conocimiento de ellos. La evaluación de tal
información posterior es similar a la evaluación de información descubierta con
posterioridad a la fecha de un informe de una auditoría de estados financieros, como se
describe en la Sección AU 561 Descubrimiento Posterior de Hechos que Existían a la
Fecha del Informe del Auditor y, por lo tanto, el auditor de la organización de servicios
debiera adaptar y aplicar las guías en la Sección AU 561.
Documentación (Ver párrafo A58)
44.
El auditor de la organización de servicios debiera preparar documentación que sea
suficiente para permitir que un auditor de la organización de servicios con experiencia, que
no tenga contacto previo con el trabajo, entender lo siguiente:
a. La naturaleza, oportunidad y alcance de los procedimientos efectuados para cumplir
con esta Sección y con los requerimientos legales y regulatorios aplicables.
b. Los resultados de los procedimientos efectuados y la evidencia obtenida.
c. Hallazgos o asuntos significativos que surgen durante el trabajo, las conclusiones
alcanzadas al respecto y los juicios profesionales significativos efectuados para
alcanzar esas conclusiones.
45.
Al documentar la naturaleza, oportunidad y alcance de los procedimientos efectuados, el
auditor de la organización de servicios debiera registrar lo siguiente:
a. Las características que identifican a las partidas o asuntos específicos que están
siendo sujetos a pruebas.
b. Quién efectuó el trabajo y la fecha en que éste fue terminado.
c. Quién revisó el trabajo efectuado y la fecha y alcance de tal revisión.
46.
Si el auditor de la organización de servicios utiliza trabajo especifico de la función de
auditoría interna, el auditor de la organización de servicios debiera documentar las
conclusiones alcanzadas respeto a la evaluación de la adecuacidad del trabajo de la función
de auditoría interna y los procedimientos del auditor de la organización de servicios sobre
ese trabajo.
47.
El auditor de la organización de servicios debiera documentar las reuniones de análisis con
la Administración y con otros, respecto a hallazgos o asuntos significativos y de cuándo,
adonde y con quién se efectuaron.
48.
Si el auditor de la organización de servicios ha identificado información que no es
consecuente con la conclusión final del auditor de la organización de servicios respecto a un
hallazgo o asunto importante, el auditor de la organización de servicios debiera documentar
como éste trató la falta de consecuencia.
49.
El auditor de la organización de servicios debiera reunir la documentación del trabajo en un
archivo de trabajo y completar el proceso administrativo de preparar el archivo final del
trabajo oportunamente, no más allá de 60 días después de la fecha en que fue emitido el
informe del auditor de la organización de servicios.
50.
Después de completar la confección del archivo de trabajo final, el auditor de la
organización de servicios no debiera eliminar o desechar documentación antes que finalice
su período de retención.
51.
Si el auditor de la organización de servicios considera necesario modificar la
documentación del trabajo o agregar documentación nueva después de haber preparado el
archivo final del trabajo, el auditor de la organización de servicios debiera, sin tomar en
consideración la naturaleza de las modificaciones o incorporaciones, documentar lo
siguiente:
a. Las razones específicas por hacerlo.
b. Cuándo y por quién fueron efectuados y revisados.
Preparar el Informe del Auditor de la Organización de Servicios
Contenido del Informe del Auditor de la Organización de Servicios (Ver párrafo A59)
52.
Un informe de Tipo 2 de un auditor de una organización de servicios debiera incluir los
siguientes elementos:
a. Un título que incluya la palabra independiente.
b. Una dirección.
c. Identificación de:
servicios y de la función efectuada por el sistema.
ii. cualquier parte de la descripción por la Administración del sistema de la
organización de servicios que no esté cubierta por el informe del auditor de
la organización de servicios (Ver párrafo A56).
iii. cualquier información incluida en un documento que incorpora el informe
del auditor de la organización de servicios que no está cubierta por el
informe del auditor de la organización de servicios (Ver párrafo A56).
iv. los criterios.
v. cualquier servicio efectuado por una organización de sub-servicios y
respecto a si el método de exclusión o el método inclusivo fueron utilizados
en éstos. Dependiendo de cuál método es utilizado, lo siguiente debiera ser
incluido:
(1) Si fue utilizado el método de exclusión, una declaración que la
descripción por la Administración del sistema de la organización
de servicios excluye los objetivos de control y controles
relacionados en las pertinentes organizaciones de sub-servicios y
que los procedimientos del auditor de la organización de servicios
no incluyen a la organización de sub-servicios.
(2) Si fue utilizado el método inclusivo, una declaración que la
de servicios incluye los objetivos de control especificados y
controles relacionados en la organización de sub-servicios y que
los procedimientos del auditor de la organización de servicios
incluyeron los procedimientos relacionados con la organización de
sub-servicios.
d. Si la descripción por la Administración del sistema de la organización de servicios
se refiere a la necesidad de controles complementarios en la entidad usuaria, una
declaración que el auditor de la organización de servicios no ha evaluado lo
adecuado que es el diseño o la efectividad operacional de los controles
complementarios en la entidad usuaria y que los objetivos de control indicados en
la descripción sólo pueden ser logrados si los controles complementarios en la
entidad usuaria están adecuadamente diseñados y operando con efectividad, junto
con los controles en la organización de servicios.
e. Una referencia a la afirmación de la Administración y una declaración que la
Administración es responsable por (Ver párrafo A60)
i. preparar la descripción del sistema de la organización de servicios y por la
de la descripción y de la afirmación;
ii. proporcionar los servicios cubiertos por la descripción del sistema de la
iii. especificar los objetivos de control, a menos que los objetivos de control
estén especificados por ley, regulación o por otra parte, e indicándolos en la
descripción del sistema de la organización de servicios;
iv. identificar los riesgos que amenazan el logro de los objetivos de control;
v. seleccionar los criterios y
vi. diseñar, implementar y documentar los controles que están diseñados
adecuadamente y operando con efectividad para lograr los objetivos de
control relacionados indicados en la descripción del sistema de la
f. Una declaración que la responsabilidad del auditor de la organización de servicios
es expresar una opinión sobre la razonabilidad de la presentación de la descripción
por la Administración del sistema de la organización de servicios y sobre lo
adecuado que son el diseño y la efectividad operacional de los controles para lograr
los objetivos de control relacionados indicados en la descripción, a base del examen
del auditor de la organización de servicios.
g. Una declaración que el examen fue efectuado de acuerdo con las normas de
atestiguación establecidas por el Colegio de Contadores de Chile A.G. y que esas
normas requieren que el auditor de la organización de servicios planifique y efectúe
el examen para obtener una seguridad razonable respecto a si la descripción por la
Administración del sistema de la organización de servicios está presentada
razonablemente y que los controles están adecuadamente diseñados y operaron con
efectividad durante todo el período especificado para lograr los objetivos de control
relacionados.
h. Una declaración que un examen de la descripción por la Administración del sistema
de una organización de servicios y lo adecuado del diseño y de la efectividad
operacional de los controles de la organización de servicios para lograr los
objetivos de control relacionados indicados en la descripción, involucra efectuar
procedimientos para obtener evidencia respecto a la razonabilidad de la
presentación de la descripción y de lo adecuado del diseño y de la efectividad
operacional de esos controles para lograr los objetivos de control relacionados
indicados en la descripción.
i. Una declaración que el examen incluyó evaluar los riesgos que la descripción por la
Administración del sistema de la organización de servicios no está presentada
razonablemente y que los controles no están adecuadamente diseñados ni operando
con efectividad para lograr los objetivos de control relacionados.
j. Una declaración que el examen también incluyó efectuar pruebas de la efectividad
operacional de esos controles que el auditor de la organización de servicios
considera necesarios para proporcionar una seguridad razonable que los objetivos
de control relacionados indicados en la descripción por la Administración del
sistema de la organización de servicios fueron logrados.
k. Una declaración que un examen de este tipo también incluye evaluar la
presentación general de la descripción por la Administración del sistema de la
organización de servicios y de lo adecuados que son los objetivos de control
l. Una declaración que el auditor de la organización de servicios considera que el
examen proporciona una base razonable para su opinión.
m. Una declaración respecto a las limitaciones inherentes de los controles, incluyendo
el riesgo de proyectar a períodos futuros cualquier evaluación de la razonabilidad
de la presentación de la descripción por la Administración del sistema de la
organización de servicios, o conclusiones respecto a lo adecuado del diseño y de la
efectividad operacional de los controles.
n. La opinión del auditor de la organización de servicios respecto a si, en todos los
aspectos significativos, a base de los criterios descritos en la afirmación de la
Administración,
servicios, presenta razonablemente el sistema de la organización de
servicios que fue diseñado e implementado durante todo el período
especificado.
servicios fueron adecuadamente diseñados para proporcionar una seguridad
razonable que esos objetivos de control serían logrados si los controles
operaron con efectividad durante todo el período especificado.
iii. los controles que el auditor de la organización de servicios sometió a
pruebas, los cuales fueron los necesarios para proporcionar una seguridad
razonable que los objetivos de control indicados en la descripción por la
Administración del sistema de la organización de servicios fueron logrados
y operaron con efectividad durante todo el período especificado.
iv. si la aplicación de controles complementarios en la entidad usuaria es
necesaria para lograr los objetivos de control relacionados indicados en la
servicios, una referencia a esta condición.
o. Una referencia a una descripción de las pruebas de controles por el auditor de la
organización de servicios y los resultados obtenidos que incluya:
i. identificación de los controles que fueron sometidos a pruebas, de si las
partidas sometidas a pruebas representan a todas o a una selección de las
partidas en el universo y la naturaleza de las pruebas en suficiente detalle
para permitir a los auditores de la entidad usuaria determinar el efecto de
tales pruebas sobre sus evaluaciones de riesgos. (Ver párrafo A50)
ii. si han sido identificadas desviaciones en la operación de los controles
incluidos en la descripción, el alcance de las pruebas efectuadas por el
auditor de la organización de servicios que resultó en la identificación de
las desviaciones (incluyendo el número de partidas sometidas a prueba) y el
número y la naturaleza de las desviaciones detectadas (aún cuando si, a
base de las pruebas efectuadas, el auditor de la organización de servicios
concluye que el objetivo de control relacionado fue logrado.(Ver párrafo
A65)
p. Una declaración restringiendo el uso del informe del auditor de la organización de
servicios a la Administración de la organización de servicios, entidades usuarias del
sistema de la organización de servicios durante parte o todo el período cubierto por
el informe del auditor de la organización de servicios y los auditores independientes
de tales entidades usuarias. (Ver párrafos A61 – A64)
q. La fecha del informe del auditor de la organización de servicios.
r. El nombre del auditor de la organización de servicios y la ciudad y región en la cual
el auditor de la organización de servicios tiene la oficina que tiene la
responsabilidad por el trabajo.
53.
Un informe Tipo 1 de un auditor de la organización de servicios debiera incluir los
siguientes elementos:
a. Un titulo que incluya la palabra independiente.
b. El nombre a quien va dirigido.
c. Identificación de:
servicios preparada por la Administración y la función desempeñada por el
sistema.
ii. cualquier parte de la descripción por la Administración del sistema de la
organización de servicios que no está cubierta por el informe del auditor de
la organización de servicios (Ver párrafo A56).
iii. cualquier información incluida en un documento que incorpora al informe
del auditor de la organización de servicios que no está cubierto por el
informe del auditor de la organización de servicios (Ver párrafo A56).
iv. los criterios
v. cualquier servicio efectuado por una organización de sub-servicios y si el
método de exclusión o el método inclusivo fueron utilizados al respecto.
Dependiendo de cual método es utilizado, lo siguiente debiera ser incluido:
(1) Si se utilizó el método de exclusión, una declaración que la
de servicios excluye los objetivos de control y controles
relacionados en la organización de sub-servicios y que los
procedimientos del auditor de la organización de servicios no
cubren a la organización de sub-servicios.
(2) Si se utilizó el método inclusivo, una declaración que la descripción
por la Administración del sistema de la organización de servicios
incluye a los objetivos de control y controles relacionados
especificados de la organización de sub-servicios y que los
procedimientos del auditor de la organización de servicios
incluyeron procedimientos relacionados con la organización de
sub-servicios.
d. Si la descripción por la Administración del sistema de la organización de servicios
se refiere a la necesidad de controles complementarios en la entidad usuaria, una
declaración que el auditor de la organización de servicios no ha evaluado lo
adecuado que son el diseño o la efectividad operacional de los controles
complementarios en la entidad usuaria y que los objetivos de control indicados en
la descripción sólo pueden ser logrados si los controles complementarios en la
entidad usuaria están diseñados adecuadamente y operando con efectividad, junto
con los controles en la organización de servicios.
e. Una referencia a la afirmación de la Administración y una declaración que la
Administración es responsable por: (Ver párrafo A60)
i. preparar la descripción del sistema de la organización de servicios y la
de la descripción y la afirmación;
ii. proporcionar los servicios cubiertos por la descripción del sistema de la
iii. especificar los objetivos de control, a menos que los objetivos de control
están especificados por ley, regulación u otra parte, e indicándolos en la
descripción del sistema de la organización de servicios
iv. identificar los riesgos que amenazan al logro de los objetivos de control
v. seleccionar los criterios y
vi. diseñar, implementar y documentar los controles que están diseñados
adecuadamente y operando con efectividad para lograr los objetivos de
control relacionados indicados en la descripción del sistema de la
f. Una declaración que la responsabilidad del auditor de la organización de servicios
es expresar una opinión sobre la razonabilidad de la presentación de la descripción
por la Administración del sistema de la organización de servicios y sobre lo
adecuado del diseño de los controles para lograr los objetivos de control
relacionados indicados en la descripción, a base del examen del auditor de la
g. Una declaración que el examen fue efectuado de acuerdo con las normas de
atestiguación establecidas por el Colegio de Contadores de Chile A.G. y que esas
normas requieren que el auditor de la organización de servicios planifique y efectúe
el examen para obtener una seguridad razonable respecto a si la descripción por la
Administración del sistema de la organización de servicios está presentada
razonablemente y los controles están adecuadamente diseñados a la fecha
especificada para lograr los objetivos de control relacionados.
h. Una declaración que el auditor de la organización de servicios no ha efectuado
ningún procedimiento relacionado con la efectividad operacional de los controles y,
por lo tanto, no expresa una opinión al respecto.
i. Una declaración que un examen de la descripción por la Administración del sistema
de la organización de servicios y de lo adecuado del diseño de los controles de la
organización de servicios para lograr los objetivos de control relacionados
indicados en la descripción, involucra efectuar procedimientos para obtener
evidencia respecto a la razonabilidad de la presentación de la descripción y de lo
adecuado del diseño de esos controles para lograr los objetivos de control
relacionados indicados en la descripción.
j. Una declaración que el examen incluyó evaluar los riesgos que la descripción por la
Administración del sistema de la organización de servicios no se presenta
razonablemente y que los controles no fueron adecuadamente diseñados para lograr
los objetivos de control relacionados.
k. Una declaración que un examen de este tipo también incluye evaluar la
presentación general de la descripción por la Administración del sistema de la
organización de servicios y de lo adecuado de los objetivos de control indicados en
la descripción.
l. Una declaración que el auditor de la organización de servicios considera que el
examen proporciona una base razonable para su opinión.
m. Una declaración respecto a las inherentes limitaciones de los controles, incluyendo
el riesgo de proyectar a períodos futuros cualquier evaluación de la razonabilidad
de la presentación de la descripción por la Administración del sistema de la
organización de servicios, o conclusiones respecto a lo adecuado del diseño de los
controles para lograr los objetivos de control relacionados.
n. La opinión del auditor de la organización de servicios respecto a si, en todos los
aspectos significativos, a base de los criterios descritos en la afirmación de la
Administración,
servicios presenta razonablemente el sistema de la organización de
servicios que fue diseñado e implementado a la fecha especificada
servicios fueron diseñados adecuadamente para proporcionar una seguridad
razonable que esos objetivos de control serían logrados si los controles
operaban con efectividad a la fecha especificada
iii. si la aplicación de controles complementarios en la entidad usuaria es
necesaria para lograr los objetivos de control relacionados indicados en la
servicios, una referencia a esta condición.
o. Una declaración restringiendo el uso del informe del auditor de la organización de
servicios a la Administración de la organización de servicios, entidades usuarias del
sistema de la organización de servicios al final del período cubierto por el informe
del auditor de la organización de servicios y los auditores independientes de tales
entidades usuarias. (Ver párrafos A61-A64)
p. La fecha del informe del auditor de la organización de servicios.
q. El nombre del auditor de la organización de servicios y la ciudad y región donde el
auditor de la organización de servicios tiene la oficina responsable por el trabajo.
Fecha del Informe
54.
El auditor de la organización de servicios debiera fechar su informe no antes que la fecha en
que ha obtenido suficiente y apropiada evidencia para respaldar su opinión.
Opiniones modificadas (Ver párrafo A66)
55.
La opinión del auditor de la organización de servicios debiera ser modificada y el informe
del auditor de la organización de servicios debiera incluir una clara descripción de todas las
razones por la modificación, si el auditor de la organización de servicios concluye que:
a. la descripción por la Administración del sistema de la organización de servicios no
se presenta razonablemente, en todos sus aspectos significativos;
b. los controles no están adecuadamente diseñados para proporcionar una seguridad
razonable que los objetivos de control indicados en la descripción por la
Administración del sistema de la organización de servicios sería logrado si los
controles operaran según lo descrito;
c. en el caso de un informe Tipo 2, los controles no operaron con efectividad durante
todo el período especificado para lograr los objetivos de control relacionados
servicios, o
d. el auditor de la organización de servicios no puede obtener suficiente y apropiada
evidencia.
56.
Si el auditor de la organización de servicios tiene la intención de abstenerse de opinar
debido a que no puede obtener suficiente y apropiada evidencia y, a base de procedimientos
limitados efectuados, ha concluido que:
a. ciertos aspectos de la descripción por la Administración del sistema de la
organización de servicios no están presentados razonablemente, en todos sus
aspectos significativos;
b. ciertos controles no fueron adecuadamente diseñados para proporcionar una
seguridad razonable que los objetivos de control indicados en la descripción por la
Administración del sistema de la organización de servicios serían logrados si los
controles operaran como se describe, o
c. en el caso de un informe Tipo 2, ciertos controles no operaron con efectividad
durante todo el período especificado para lograr los objetivos de control
relacionados indicados en la descripción por la Administración del sistema de la
organización de servicios
el auditor de la organización de servicios debiera identificar estos hallazgos en su informe.
57.
Si el auditor de la organización de servicios tiene la intención de abstenerse de opinar, el
auditor de la organización de servicios no debiera identificar los procedimientos que fueron
efectuados ni incluir declaraciones describiendo las características de un trabajo de un
auditor de la organización de servicios en su informe, pues hacerlo podría restar
importancia a la abstención de opinión.
Otras Responsabilidades de Comunicación
58.
Si el auditor de la organización de servicios toma conocimiento de instancias de
incumplimiento con leyes y regulaciones, fraudes o errores no corregidos atribuibles a la
Administración o al personal de otras organizaciones de servicios que claramente no son
insignificantes y que puedan afectar a una o más entidades usuarias, el auditor de la
organización de servicios debiera determinar el efecto de tales instancias sobre la
descripción por la Administración del sistema de la organización de servicios, el logro de
los objetivos de control y el informe del auditor de la organización de servicios. Además, el
auditor de la organización de servicios debiera determinar si esta información ha sido
comunicada apropiadamente a las entidades usuarias afectadas. Si la información no ha sido
comunicada de esta manera y la Administración de la organización de servicios no quiere
hacerlo, el auditor de la organización de servicios debiera tomar acción apropiada. (Ver
párrafo A67)
***
Guía de Aplicación y Otro Material Explicativo
Alcance de esta Sección
A1.
El control interno es un proceso diseñado para proporcionar una seguridad razonable
respecto al logro de objetivos relacionados con la fiabilidad del proceso de preparación y
presentación de información financiera, la efectividad y eficiencia de las operaciones y el
cumplimiento con las leyes y regulaciones aplicables. Los controles relacionados con las
operaciones y los objetivos de cumplimiento en una organización de servicios pueden ser
pertinentes al control interno de una entidad usuaria sobre el proceso de preparación y
presentación de información financiera. Tales controles pueden corresponder a
afirmaciones respecto a la presentación y revelación de saldos de cuentas, clases de
transacciones o revelaciones, o pueden corresponder a evidencia que el auditor de la entidad
usuaria evalúa o utiliza al aplicar los procedimientos de auditoría. Por ejemplo, los
controles sobre el procesamiento de remuneraciones de una organización de servicios
relacionados con el oportuno pago a los organismos previsionales y al Fisco pueden ser
pertinentes para la entidad usuaria debido a que los atrasos pueden incurrir en intereses y
multas que resultarían en un pasivo para la entidad usuaria. Igualmente, los controles de una
organización de servicios sobre la aceptabilidad de transacciones por inversiones desde un
punto de vista regulatorio pueden ser considerados pertinentes para la presentación y
revelación de transacciones y saldos de cuentas en los estados financieros de la entidad
usuaria. (Ver párrafo 1)
A2.
El párrafo 2 de esta Sección se refiere a otros trabajos que puede efectuar e informar el
profesional de acuerdo con la Sección AT 101, para informar sobre los controles en una
organización de servicios. El párrafo 2, sin embargo, no tiene por objetivo permitir que se
alteren las definiciones del párrafo 7 de una organización de servicios o del sistema de una
organización de servicios de permitir que informes emitidos de acuerdo con esta Sección
incluyan en la descripción del sistema de la organización de servicios aspectos de sus
servicios (incluyendo objetivos de control y controles relacionados pertinentes) que no es
probable sean pertinentes para el control interno de las entidades usuarias sobre el proceso
de preparación y presentación de información financiera, o permitir que sea emitido un
informe que combine informar de acuerdo con esta Sección sobre los controles de una
organización de servicios que probablemente sean pertinentes al control interno de las
financiera, con informar de acuerdo con la Sección AT 101 sobre controles que
probablemente no sean pertinentes al control interno de entidades usuarias sobre el proceso
de preparación y presentación de información financiera. (Ver párrafo 2(a))
A3.
Cuando un auditor de la organización de servicios efectúa un trabajo de acuerdo con la
Sección AT 101 para informar sobre los controles en una organización de servicios
distintos a aquellos controles que probablemente sean pertinentes al control interno de
entidades usuarias sobre el proceso de preparación y presentación de información financiera
y el auditor de la organización de servicios tiene la intención de utilizar las guías de esta
Sección al planificar y efectuar ese trabajo, el auditor de la organización de servicios puede
enfrentar asuntos que difieren significativamente de aquellos asociados con trabajos para
informar sobre los controles de una organización de servicios que probablemente sean
pertinentes al control interno de entidades usuarias sobre el proceso de preparación y
presentación de información financiera. Por ejemplo:
identificación de criterios adecuados y disponibles, como lo recomiendan los
párrafos 23-34 de la Sección AT 101, para evaluar la razonabilidad de la
presentación de la descripción por la Administración del sistema de la organización
de servicios y de lo adecuado del diseño y de la efectividad operacional de los
controles
identificación de objetivos de control apropiados y la base para evaluar la
razonabilidad de los objetivos de control en las circunstancias del trabajo específico
identificación de los usuarios para quienes se prepara el informe y la manera en que
tienen la intención de utilizar el informe
pertinencia y lo apropiado que son las definiciones del párrafo 7 de esta Sección,
muchas de las cuales se relacionan específicamente con el control interno sobre el
proceso de preparación y presentación de información financiera
aplicación de referencias a normas de auditoría (Secciones AU) que tienen por
propósito proporcionar al auditor de organizaciones de servicios con guías
pertinentes al control interno sobre el proceso de preparación y presentación de
información financiera
aplicación del concepto de importancia relativa en las circunstancias del trabajo
específico
desarrollar el lenguaje a ser utilizado en el informe del profesional, incluyendo
considerar los párrafos 84-87 de la Sección AT 101, los cuales identifican los
elementos a ser incluidos en un informe de examen. (Ver párrafo 2(a))
A4.
Cuando la Administración de la organización de servicios no es responsable por el diseño
del sistema, es improbable que la Administración de la organización de servicios esté en
condiciones de afirmar que el sistema está adecuadamente diseñado. Los controles no
pueden operar con efectividad a menos que estén diseñados adecuadamente. Debido al
vínculo indisoluble entre lo adecuado del diseño y su efectividad operacional, la falta de
una afirmación respecto a lo adecuado que es el diseño probablemente impedirá que el
auditor de la organización de servicios opine respecto a la efectividad operacional de los
controles. Como una alternativa, el profesional puede efectuar pruebas de los controles en,
ya sea un trabajo de acuerdo con procedimientos acordados de acuerdo con la Sección AT
201 Trabajos de Acuerdo con Procedimientos Acordados, o un examen de la efectividad
operacional de los controles, de acuerdo con la Sección AT 101. (Ver párrafo 2(b))
Definiciones
Controles en una Organización de Servicios (Ver párrafo 7)
A5.
Las políticas y procedimientos mencionados en la definición de controles en una
organización de servicios en el párrafo 7 incluyen aspectos de los sistemas de información
mantenidos por la organización de servicios y también puede incluir aspectos de uno o más
de los otros componentes del control interno en una organización de servicios. Por ejemplo,
la definición de controles en una organización de servicios puede incluir aspectos del
entorno de control, monitoreo y actividades de control de la organización de servicios
cuando se relacionan con los servicios proporcionados. Tal definición, sin embargo, no
incluye los controles en una organización de servicios cuando están relacionados con el
logro de los objetivos de control indicados en la descripción por la Administración del
sistema de la organización de servicios, por ejemplo, los controles relacionados con los
propios estados financieros de la organización de servicios.
Criterios (Ver párrafos 7 y 14-16)
A6.
Para los propósitos de trabajos efectuados de acuerdo con esta Sección, se necesita que
estén disponibles criterios para las entidades usuarias y sus auditores para permitirles
entender la base para la afirmación de la organización de servicios respecto a la
presentación razonable de la descripción por la Administración del sistema de la
organización de servicios, lo adecuado del diseño de los controles que tratan los objetivos
de control indicados en la descripción del sistema y, en el caso de informes Tipo 2, la
efectividad operacional de tales controles. La información sobre criterios adecuados es
proporcionada en los párrafos 23-34 de la Sección AT 101. Los párrafos 14-16 de esta
Sección analizan los criterios para evaluar la razonabilidad de la presentación de la
descripción por la Administración del sistema de la organización de servicios y lo adecuado
del diseño y de la efectividad operacional de los controles.
Método Inclusivo (Ver párrafo 7)
A7.
Como se indica en la definición del método inclusivo en el párrafo 7, una organización de
servicios que utiliza una organización de sub-servicios presenta la descripción por la
Administración del sistema de la organización de servicios para incluir una descripción de
los servicios proporcionados por la organización de sub-servicios como asimismo los
objetivos de control y controles relacionados pertinentes de la organización de subservicios. Cuando es utilizado el método inclusivo, los requerimientos de esta Sección
también son aplicables a los servicios proporcionados por la organización de sub-servicios,
incluyendo el requerimiento de obtener el reconocimiento y aceptación por la
Administración de los asuntos del párrafo 9(c) (i)-(vii) en lo relacionado con la
organización de sub-servicios.
A8.
Efectuar procedimientos en la organización de sub-servicios implica coordinación y
comunicación entre la organización de servicios, la organización de sub-servicios y el
auditor de la organización de servicios. El método inclusivo generalmente es viable si, por
ejemplo, la organización de servicios y la organización de sub-servicios están relacionados,
o si el contrato entre la organización de servicios y la organización de sub-servicios
contempla la emisión de un informe por el auditor de la organización de servicios. Si el
auditor de la organización de servicios no puede obtener una afirmación de la organización
de sub-servicios respecto a la descripción proporcionada por la Administración del sistema
de la organización de servicios, incluyendo los objetivos de control y controles relacionados
pertinentes en la organización de sub-servicios, el auditor de la organización de servicios no
está en condiciones de utilizar el método inclusivo, pero puede, en vez de ello, utilizar el
método de exclusión.
A9.
Pueden existir instancias cuando los controles de la organización de servicios, tales como
los controles de monitoreo, permiten a la organización de servicios incluir en su afirmación
los aspectos pertinentes del sistema de la organización de sub-servicios, incluyendo los
objetivos de control y controles relacionados pertinentes de la organización de subservicios. En tales instancias, el auditor de la organización de servicios está basando su
opinión únicamente sobre los controles en la organización de servicios y, por lo tanto, el
método inclusivo no es aplicable.
Función de Auditoría Interna (Ver párrafo 7)
A10.
Los “otros” mencionados en la definición de la función de auditoría interna pueden ser
personas que efectúan actividades similares a las efectuadas por auditores internos e
incluyen a personal de la organización de servicios (además de los auditores internos) y
terceros trabajando directamente bajo la dirección de la Administración o de los encargados
del Gobierno Corporativo.
Sistema de las Organizaciones de Servicios (Ver párrafo 7)
A11.
Las políticas y procedimientos mencionados en la definición del sistema de las
organizaciones de servicios se refieren a las guías y actividades para proporcionar el
procesamiento de transacciones y otros servicios a entidades usuarias e incluyen la
infraestructura, programas computacionales e información que respalda las políticas y
procedimientos.
La Administración y los Encargados del Gobierno Corporativo (Ver párrafo 8)
A12.
Las estructuras de Administración y de Gobierno Corporativo varían entre entidades,
reflejando influencias tales como características de tamaño y de propiedad. Tal diversidad
significa que no es posible que esta Sección especifique para todos los trabajos las personas
con quien el auditor de la organización de servicios interactuará respecto a asuntos
específicos. Por ejemplo, la organización de servicios puede ser un segmento de una
organización y no una entidad legal separada. En tales casos, identificar al personal
apropiado de la Administración o de los encargados del Gobierno Corporativo a quienes
solicitar representaciones escritas puede requerir de la aplicación de juicio profesional.
Aceptación y Retención
A13.
Si una o más de las condiciones del párrafo 9 no se cumplen y el auditor de la organización
de servicios de todos modos es requerido por ley o por regulación de continuar un trabajo
sobre los controles en una organización de servicios, se requiere que el auditor de la
organización de servicios, de acuerdo con los requerimientos en los párrafos 55-56,
determine el efecto sobre su informe de una o más de tales condiciones que no se cumplan.
(Ver párrafo 9)
Habilidades y Competencia para Efectuar el Trabajo (Ver párrafo 9(a))
A14.
Las habilidades y competencia para efectuar el trabajo incluyen asuntos tales como los
siguientes:
Conocimiento de la industria
Un entendimiento de tecnología de la información y de sistemas
Experiencia en evaluar riesgos relacionados con el diseño adecuado de controles
Experiencia en el diseño y ejecución de pruebas de controles y en la evaluación de
los resultados.
A15.
Al efectuar un trabajo de auditor de la organización de servicios, el auditor de la
organización de servicios no necesita ser independiente de cada entidad usuaria. (Ver
párrafo 9(a))
Responsabilidad de la Administración por Documentar el Sistema de la Organización de Servicios
(Ver párrafo 9(c)(i))
A16.
La Administración de la organización de servicios es responsable por documentar el
sistema de ésta. No se recomienda ninguna forma particular de documentación y la cantidad
de información puede variar dependiendo del tamaño y de la complejidad de la
organización de servicios y de sus actividades de monitoreo.
Base Razonable para la Afirmación de la Administración (Ver párrafo 7, definición del sistema de
la organización de servicios; párrafos 9(c)(ii) y 14(a)(vii))
A17.
Las actividades de monitoreo de la Administración pueden proporcionar evidencia del
diseño y de la efectividad operacional de los controles que respaldan la afirmación de la
Administración. El monitoreo de controles es un proceso para evaluar la efectividad del
desempeño del control interno a través del tiempo. Implica evaluar la efectividad de los
controles en forma oportuna, identificando e informando las deficiencias a las personas
apropiadas dentro de la organización de servicios y tomando las acciones correctivas
necesarias. La Administración logra el monitoreo de controles mediante actividades
permanentes, evaluaciones independientes o por una combinación de ambas. Las
actividades de monitoreo permanentes están a menudo incorporadas dentro de las
actividades recurrentes normales de una entidad, e incluyen actividades permanentes de
administración y de supervisión. Los auditores internos y personas que efectúan funciones
similares pueden contribuir al monitoreo de las actividades de una organización de
servicios. Las actividades de monitoreo pueden también incluir la utilización de
información informada a partes externas, tales como reclamos de clientes y comentarios por
un organismo regulador, que pueden indicar problemas o llamar la atención a áreas que
necesitan ser mejoradas. Mientras mayor sea el grado y efectividad del monitoreo
permanente, menor será la necesidad de efectuar evaluaciones independientes.
Normalmente, alguna combinación de monitoreo permanente y evaluaciones
independientes asegurarán que el control interno mantenga su efectividad a través del
tiempo. El informe del auditor de la organización de servicios sobre los controles no es un
sustituto de los propios procedimientos de la organización de servicios para proporcionar
una base razonable para su afirmación.
Identificación de Riesgos (Ver párrafo 9(c)(v))
A18.
Los objetivos de control están relacionados con riesgos que los controles procuran mitigar.
Por ejemplo, el riesgo que una transacción esté registrada por un monto equivocado o en un
período equivocado, puede ser expresado como un objetivo de control que las transacciones
sean registradas a su monto correcto y en el período correcto. La Administración es
responsable por identificar los riesgos que amenazan el logro de los objetivos de control
servicios. La Administración puede tener un proceso formal o informal para identificar los
riesgos pertinentes. Un proceso formal puede incluir estimar la importancia de los riesgos
identificados, evaluar la probabilidad de su ocurrencia y decidir sobre las acciones para
tratarlos. Sin embargo, debido a que los objetivos de control se relacionan con riesgos que
los controles procuran mitigar, la cuidadosa identificación por la Administración de los
objetivos de control en el momento de diseñar, implementar y documentar el sistema de la
organización de servicios, puede por sí mismo representar un proceso informal para
identificar los riesgos pertinentes.
Rehusar Proporcionar una Afirmación Escrita por parte de la Administración
A19.
Un cambio reciente en la Administración de una organización de servicios o la designación
de un auditor de la organización de servicios por una parte distinta a la Administración, son
ejemplos de situaciones que pueden resultar en que la Administración no desee
proporcionar al auditor de la organización de servicios con una afirmación escrita. Sin
embargo, otros miembros de la Administración pueden estar en la posición de y aceptarán,
firmar la afirmación para que el auditor de la organización de servicios pueda cumplir con
el requerimiento del párrafo 9(c)(vii). (Ver párrafo 10)
Solicitud para Cambiar el Alcance del Trabajo (Ver párrafo 12)
A20.
Una solicitud para cambiar el alcance del trabajo puede no tener una justificación razonable
si, por ejemplo, la solicitud es efectuada:
para excluir ciertos objetivos de control en la organización de servicios del alcance
del trabajo debido a la probabilidad que la opinión del auditor de la organización de
servicios sería modificada en relación con esos objetivos de control
para evitar la revelación de desviaciones identificadas en una organización de subservicios al solicitar un cambio desde el método inclusivo al método de exclusión.
A21.
Una solicitud para cambiar el alcance de un trabajo puede tener una justificación razonable
cuando, por ejemplo, la solicitud es efectuada para excluir del trabajo a una organización de
sub-servicios debido a que ésta no puede organizar el acceso por el auditor de la
organización de servicios y el método utilizado para enfocar los servicios contemplan que
la organización de sub-servicios es cambiado desde el método inclusivo al método de
exclusión.
Evaluar lo Adecuado de los Criterios (Ver párrafos 13-16)
A22.
La Sección AT 101 requiere que un profesional entre otras cosas, determine si la materia a
evaluar es evaluable contra criterios que son adecuados y disponibles para usuarios. Como
se indica en el párrafo 27 de la Sección AT 101, sin tomar en consideración quién establece
o desarrolla los criterios, la Administración es responsable por seleccionar los criterios y
para determinar si los criterios son apropiados. La materia a evaluar, es la condición
subyacente de interés para los usuarios para quienes se prepara un informe de atestiguación.
La siguiente tabla identifica la materia a evaluar y los criterios mínimos para cada una de
las opiniones en informes Tipo 1 y Tipo 2:
Opinión
sobre
la
presentación
razonable de
la descripción
por
la
Administraci
ón del sistema
de
la
organización
de servicios
(informes
Tipo 1 y Tipo
2).
Materia a evaluar
La descripción por la
Administración
del
sistema
de
la
organización
de
servicios
que
probablemente
sea
pertinente para el
control interno de la
entidad usuaria sobre
el
proceso
de
preparación
y
presentación
de
información
financiera y que está
cubierta
por
el
informe del auditor de
la organización de
servicios y por la
afirmación
de
la
Administración
respecto a si la
descripción
está
presentada
razonablemente.
Criterios
La descripción por la Administración
del sistema de la organización de
servicios
está
razonablemente
presentada sí:
a. presenta como fue diseñado
e implementado el sistema
de la organización de
servicios
incluyendo,
cuando fuere apropiado, los
asuntos identificados en el
párrafo 14(a) y, en el caso
de un informe Tipo 2,
incluye detalles pertinentes
de los cambios en el sistema
de la organización de
servicios durante el período
cubierto por la descripción
b. no omite ni distorsiona
información pertinente al
sistema de la organización
de
servicios,
mientras
reconoce que la descripción
por la Administración del
sistema de la organización
de servicios está preparada
para
cumplir
con
necesidades comunes de un
amplio rango de entidades
usuarias y, por lo tanto,
puede no incluir todos los
aspectos del sistema de una
que cada usuario individual
pueda considerar importante
en su propio entorno en
particular.
Comentario
La redacción textual
específica de los
criterios para esta
opinión
puede
necesitar ser hechas a
la medida para ser
uniforme con los
criterios establecidos
por, por ejemplo,
leyes, regulaciones,
grupos de usuarios o
por un organismo
profesional.
Los
criterios para evaluar
la descripción por la
Administración del
sistema
de
la
organización
de
servicios
se
proporcionan en el
párrafo
14.
Los
párrafos 19-20 y
A31-A33
ofrecen
guías adicionales para
determinar si
se
cumplen
estos
criterios.
Opinió
n
sobre
lo
adecua
do del
diseño
y de la
efectiv
idad
operac
ional
(infor
mes
Tipo
2).
Materia
a
evaluar
El diseño y la
efectividad
operacional de
los controles
que
son
necesarios
para lograr los
objetivos de
control
indicados en la
descripción
por
la
Administració
n del sistema
de
la
organización
de servicios.
Criterios
Los
controles
están
adecuadamente diseñados y
operando con efectividad para
lograr los objetivos de control
indicados en la descripción
por la Administración del
sistema de la organización de
servicios sí:
a.
la Administración ha
identificado los riesgos
que amenazan el logro de
los objetivos de control
indicados
en
la
descripción
por
la
Administración
del
sistema
de
la
organización
de
servicios.
b.
los
controles
identificados
en
la
descripción
por
la
Administración
del
sistema
de
la
organización
de
servicios, si estuvieren
operando,
como
se
describe, proporcionan
una seguridad razonable
que esos riesgos no
impedirían
que
los
objetivos de control
indicados
en
la
descripción
fueren
logrados.
c.
los controles fueron
uniformemente aplicados
como fueron diseñados
durante todo el período
especificado.
Esto
incluye si
controles
manuales
fueron
aplicados por personas
que tienen la apropiada
competencia y autoridad.
Comentarios
Cuando
los
criterios para esta
opinión
se
cumplen,
los
controles habrán
proporcionado una
seguridad
razonable que los
objetivos
de
control
relacionados
indicados en la
descripción por la
Administración del
sistema
de
la
organización
de
servicios
fueron
logrados durante
todo el período
especificado.
Los objetivos de
control indicados
en la descripción
por
la
Administración
del sistema de la
organización
de
servicios forman
parte
de
los
criterios para estas
opiniones.
Los
objetivos
de
control indicados
en la descripción
serán
diferentes
entre un trabajo y
otro. Si el auditor
de la organización
de
servicios
concluye que los
objetivos
de
control indicados
en la descripción
no
están
presentados
razonablemente,
entonces
esos
objetivos
de
control no serían
adecuados como
parte
de
los
criterios
para
formarse
una
opinión sobre el
diseño
y
la
efectividad
operacional de los
controles.
Opinión
sobre lo
adecuado
del diseño
(informes
Tipo 1).
Materia
a
evaluar
Lo adecuado del
diseño de los
controles
necesario
para
lograr
los
objetivos
de
control indicados
en la descripción
por
la
Administración
del sistema de la
organización de
servicios
y
pertinente
para
los
servicios
cubiertos por el
informe
del
auditor de la
organización de
servicios.
Criterios
Comentario
Los
controles
están
adecuadamente
diseñados para lograr los objetivos de
control indicados en la descripción por la
Administración
del sistema
de la
organización de servicios sí:
Cumplir con estos
criterios,
no
proporciona, por sí
sólo, ninguna seguridad
que los objetivos de
control indicados en la
descripción
por
la
Administración
del
sistema
de
la
organización
de
servicios
fueron
cumplidos
porque
ninguna evidencia ha
sido obtenida respecto a
la
efectividad
operacional de los
controles.
a.
la Administración ha identificado
riesgos que amenazan el logro de
objetivos de control indicados en
descripción del sistema de
los
los
su
la
b.
los controles identificados en la
descripción por la Administración del
sistema de la organización de servicios
si estuviere operando como se describe
proporcionaría una seguridad razonable
que esos riesgos no impedirían que los
objetivos de control indicados en la
descripción fueren logrados.
A23.
El párrafo 14(a) identifica como apropiados a varios elementos que están incluidos en la
descripción por la Administración del sistema de la organización de servicios. Estos
elementos pueden no ser apropiados si el sistema que está siendo descrito no es un sistema
que procesa transacciones. Por ejemplo, si el sistema está relacionado con controles
generales por la tutela sobre una aplicación de TI, pero no a controles implantados en la
aplicación propiamente tal. (Ver párrafo 14)
A24.
El requerimiento de incluir en la descripción por la Administración del sistema de la
organización de servicios “otros aspectos del entorno de control, proceso de evaluación de
riesgos, sistemas de información y comunicación (incluyendo los procesos de negocios
relacionados), actividades de control y controles de monitoreo de la organización de
servicios, que son pertinentes a los servicios proporcionados” es también aplicable a los
componentes de control interno de las organizaciones de sub-servicios utilizadas por la
organización de servicios cuando es utilizado el método inclusivo. Ver la Sección AU 314
Entendimiento de la Entidad y de su Entorno y Evaluar los Riesgos de Representaciones
Incorrectas Significativas, para un análisis de estos componentes. (Ver párrafo 14(a)(vii))
Importancia Relativa (Ver párrafo 17)
A25.
En un trabajo para informar sobre los controles en una organización de servicios, el
concepto de importancia relativa se relaciona con la información sobre la cual se informa y
no con los estados financieros de las entidades usuarias. El auditor de la organización de
servicios planifica y efectúa procedimientos para determinar si la descripción por la
Administración del sistema de la organización de servicios está presentada razonablemente,
en todos sus aspectos significativos, de si los controles en la organización de servicios están
adecuadamente diseñados, en todos sus aspectos significativos para lograr los objetivos de
control indicados en la descripción y, en el caso de un informe Tipo 2, si los controles en la
organización de servicios operaron con efectividad durante todo el período especificado en
todos los aspectos significativos para lograr los objetivos de control indicados en la
descripción. El concepto de importancia relativa toma en consideración que el informe del
auditor de la organización de servicios proporciona información respecto al sistema de la
organización de servicios para cumplir con las necesidades de información común de un
amplio rango de entidades usuarias y sus auditores quienes tienen un entendimiento de la
forma en que el sistema está siendo utilizado por una entidad usuaria en particular, para
efectos de su proceso de preparación y presentación de información financiera.
A26.
La importancia relativa respecto a la presentación razonable de la descripción por la
Administración del sistema de la organización de servicios y con respecto al diseño de
controles, primordialmente incluye la consideración de factores cualitativos, por ejemplo,
sí:
la descripción por la Administración del sistema de la organización de servicios
incluye los aspectos significativos del procesamiento de transacciones significativas
la descripción por la Administración del sistema de la organización de servicios
omite o distorsiona información pertinente
los controles tienen la capacidad, como fueron diseñados, para proporcionar una
seguridad razonable que los objetivos de control indicados en la descripción por la
Administración del sistema de la organización de servicios serían logrados
la importancia relativa con respecto a la efectividad operacional de los controles,
incluye la consideración de factores tanto cuantitativos como cualitativos. Por
ejemplo, la tasa aceptable y la tasa observada de desviación (un asunto cuantitativo)
y la naturaleza y la causa de cualquier desviación observada (un asunto cualitativo).
A27.
El concepto de importancia relativa no es aplicado al revelar, en la descripción de las
pruebas de los controles, los resultados de esas pruebas cuando desviaciones han sido
identificadas. Esto es así debido a que en las circunstancias particulares de una entidad
usuaria específica o auditor de la entidad usuaria, una desviación puede tener una
importancia más allá de si en la opinión del auditor de la organización de servicios, impida
o nó que un control opere con efectividad. Por ejemplo, el control al cual se relacione la
desviación puede ser particularmente importante para impedir un cierto tipo de error que
puede ser significativo en las circunstancias particulares de los estados financieros de una
entidad usuaria.
Obtener un Entendimiento del Sistema de la Organización de Servicios (Ver párrafo 18)
A28.
Obtener un entendimiento del sistema de la organización de servicios, incluyendo los
controles relacionados, ayudan al auditor de la organización de servicios en lo siguiente:
Identificar los parámetros del sistema y cómo interactúa con otros sistemas
Evaluar si la descripción por la Administración del sistema de la organización de
servicios presenta razonablemente el sistema de la organización de servicios que ha
sido diseñado e implementado
Determinar cuáles controles son necesarios para lograr los objetivos de control
servicios, si los controles fueron adecuadamente diseñados para lograr esos
objetivos de control y, en el caso de un informe Tipo 2, si los controles estaban
operando con efectividad durante todo el período para lograr esos objetivos de
control.
A29.
La descripción por la Administración del sistema de la organización de servicios incluye
“aspectos del entorno de control, proceso de evaluación de riesgos, sistemas de información
y comunicación (incluyendo los procesos de negocios relacionados), actividades de control
y controles de monitoreo de las organizaciones de servicios, que son pertinentes a los
servicios proporcionados”. Aunque aspectos del entorno de control, proceso de evaluación
de riesgos y actividades de monitoreo de la organización de servicios pueden no ser
presentadas en la descripción bajo el contexto de objetivos de control pueden, no obstante,
ser necesarios para lograr los objetivos de control especificados indicados en la descripción.
De la misma manera, las deficiencias en estos controles pueden tener un efecto sobre la
evaluación por el auditor de la organización de servicios respecto a si los controles,
tomados en su conjunto, fueron adecuadamente diseñados u operando con efectividad para
lograr los objetivos de control especificados. Ver la Sección AU 314 para un análisis de
estos componentes de control interno.
A30.
Los procedimientos del auditor de la organización de servicios para obtener el
entendimiento mencionado en el párrafo A28 pueden incluir lo siguiente:
Indagar a la Administración y a otros dentro de la organización de servicios a
quienes, a juicio del auditor de la organización de servicios, puedan tener
información pertinente
Observar operaciones e inspeccionar documentos, informes y registros impresos o
electrónicos del procesamiento de transacciones
Inspeccionar una selección de acuerdos entre la organización de servicios y
entidades usuarias para identificar sus términos comunes
Repetir la aplicación de un control
Uno o más de los procedimientos anteriores pueden ser logrados mediante una visita
inspectiva y/o la repetición del procesamiento de determinadas transacciones
Obtener Evidencia Respecto a la Descripción por la Administración del Sistema de la
Organización de Servicios (Ver párrafos 19-20)
A31.
En un examen por un auditor de la organización de servicios, el auditor de la organización
de servicios planifica y efectúa el trabajo para obtener una seguridad razonable de detectar
errores u omisiones en la descripción por la Administración del sistema de la organización
de servicios e instancias en que los objetivos de control no fueron logrados. Una seguridad
absoluta no es alcanzable debido a factores tales como la necesidad de juicio, la utilización
de muestreo y las inherentes limitaciones de los controles en la organización de servicios
que afectan si la descripción está razonablemente presentada y que los controles están
adecuadamente diseñados y operando con efectividad para lograr los objetivos de control y
debido a que mucha de la evidencia disponible para el auditor de la organización de
servicios es persuasiva en vez de ser concluyente por naturaleza. Además, procedimientos
que son efectivos para detectar errores no intencionales u omisiones en la descripción, e
instancias en que los objetivos de control no fueron logrados que están ocultos mediante
colusión entre personal de la organización de servicios y un tercero, o entre la
Administración y empleados de la organización de servicios. Por lo tanto, el descubrimiento
posterior de la existencia de omisiones significativas o errores en la descripción o instancias
en que los objetivos de control no fueron logrados, no representan por sí solos, evidencia de
planificación, ejecución o juicio inadecuados de parte del auditor de la organización de
servicios. (Ver párrafo 27)
A32.
Considerar los siguientes asuntos puede ayudar al auditor de la organización de servicios a
determinar si la descripción por la Administración del sistema de la organización de
servicios está presentada razonablemente, en todos sus aspectos significativos
¿Trata la descripción hecha por la Administración los principales aspectos del
servicio proporcionado e incluido en el alcance del trabajo que razonablemente
podría esperarse que sean pertinentes para las necesidades comunes de un amplio
rango de auditores de entidades usuarias al planificar sus auditorías de los estados
financieros de las entidades usuarias?
¿Está preparada la descripción a un nivel de detalle que razonablemente podría
esperarse proporcione a un amplio rango de auditores de entidades usuarias con
suficiente información para obtener un entendimiento del control interno de
acuerdo con la Sección AU 314?. La descripción no necesita tratar cada aspecto del
procesamiento por la organización de servicios o de los servicios proporcionados a
entidades usuarias y no necesita ser tan detallada que potencialmente podría
permitir a un lector afectar negativamente la seguridad y otros controles en la
¿Está preparada la descripción de una manera que no omite ni distorsiona la
información que podría afectar las decisiones de un amplio rango de auditores de
entidades usuarias, por ejemplo, incluye la descripción cualquier omisión
significativa o inexactitudes respecto al procesamiento de las cuales el auditor de la
organización de servicios tenga conocimiento?
¿Incluye la descripción detalles pertinentes de cambios en el sistema de la
organización de servicios durante el período cubierto por la descripción cuando ésta
cubre un período de tiempo?
¿Han sido efectivamente implementados los controles identificados en la
descripción?
¿Están adecuadamente descritos, si hubieren, los controles complementarios en la
entidad usuaria?. En la mayoría de los casos, los objetivos de control indicados en
la descripción están redactados en forma tal que puedan ser logrados mediante la
efectividad operacional de los controles implementados por la organización de
servicios por sí misma. Sin embargo, en algunos casos, los objetivos de control
indicados en la descripción no pueden ser logrados por la organización de servicios
por sí sola, debido a que su logro requiere que controles específicos sean
implementados por las entidades usuarias. Este puede ser el caso cuando, por
ejemplo, los objetivos de control son especificados por un organismo regulador.
Cuando la descripción sí incluye controles complementarios en la entidad usuaria,
la descripción identifica en forma separada esos controles junto con los objetivos de
control específicos que no pueden ser logrados por la organización de servicios por
sí sola. (Ver párrafo 19(c))
¿Si se ha utilizado el método inclusivo, se identifica en forma separada la
descripción los controles en la organización de servicios y los controles en la
organización de sub-servicios? ¿Si se utiliza el método de exclusión, identifica la
descripción las funciones que son efectuadas en la organización de sub-servicios?
Cuando se utiliza el método de exclusión, la descripción no necesita proporcionar
el procesamiento en forma detallada ni los controles en la organización de subservicios.
A33.
Los procedimientos del auditor de la organización de servicios para evaluar la presentación
razonable de la descripción por la Administración del sistema de la organización de
servicios pueden incluir los siguientes:
Considerar la naturaleza de las entidades usuarias y cómo los servicios
proporcionados por la organización de servicios pueden probablemente afectarlas,
por ejemplo, los tipos predominantes de entidades usuarias y si las entidades
usuarias están reguladas por organismos gubernamentales
Leer contratos con las entidades usuarias para obtener un entendimiento de las
obligaciones contractuales de la organización de servicios
Observar los procedimientos efectuados por el personal de la organización de
servicios
Revisar los manuales de políticas y procedimientos y otra documentación del
sistema de la organización de servicios, por ejemplo, flujogramas y descripciones
Efectuar repeticiones de transacciones ya procesadas a través del sistema de la
A34.
El párrafo 19(a) requiere que el auditor de la organización de servicios evalúe si los
objetivos de control indicados en la descripción por la Administración del sistema de la
organización de servicios son razonables en las circunstancias. La consideración de los
siguientes aspectos puede ayudar al auditor de la organización de servicios en esta
evaluación:
¿Han sido especificados por la organización de servicios o por partes externas a
ésta, tales como organismos reguladores, un grupo de usuarios, un organismo
profesional u otros, los objetivos de control indicados en la descripción?
¿Se relacionan los objetivos de control indicados en la descripción y especificados
por la organización de servicios, con los tipos de afirmaciones comúnmente
incorporadas en el amplio rango de estados financieros de entidades usuarias a las
cuales los controles en la organización de servicios podrían razonablemente estar
relacionados (por ejemplo, afirmaciones respecto a la existencia y a la exactitud que
son afectados por controles de acceso que previenen o detectan el acceso no
autorizado al sistema? Aunque normalmente el auditor de la organización de
servicios no podrá determinar cómo los controles en una organización de servicios
se relacionan específicamente con las afirmaciones incorporadas en los estados
financieros individuales de entidades usuarias, el entendimiento por el auditor de la
organización de servicios de la naturaleza del sistema de la organización de
servicios, incluyendo sus controles, y los servicios que están siendo
proporcionados, es utilizado para identificar los tipos de afirmaciones a las cuales
esos controles tienen la probabilidad de estar relacionados.
¿Están completos los objetivos de control indicados en la descripción y
especificados por la organización de servicios? Aún cuando un juego completo
objetivos de control puede proporcionar a un amplio rango de auditores de usuarias
con un marco para evaluar el efecto de los controles en la organización de servicios
sobre afirmaciones comúnmente incorporadas en los estados financieros de
entidades usuarias, normalmente el auditor de la organización de servicios no podrá
determinar cómo los controles en la organización de servicios se relacionan
específicamente con las afirmaciones incorporadas en los estados financieros
individuales de las entidades usuarias y, por lo tanto, no puede determinar si los
objetivos de control están completos desde el punto de vista de las entidades
usuarias individuales o de los auditores de las entidades usuarias. Es la
responsabilidad de las entidades usuarias individuales o de los auditores de las
usuarias evaluar si la descripción de la organización de servicios trata los objetivos
de control específicos que son pertinentes para sus necesidades. Si los objetivos de
control son especificados por una parte externa, incluyendo los objetivos de control
especificados por ley o regulación, la parte externa es responsable por su integridad
y su razonabilidad. (Ver párrafo 19(a))
A35.
Los procedimientos del auditor de la organización de servicios para determinar si el sistema
descrito por la organización de servicios ha sido implementado, puede ser similar a, o
efectuado conjuntamente con, procedimientos para obtener un entendimiento de ese
sistema. Otros procedimientos que el auditor de la organización de servicios puede utilizar
en combinación con indagaciones a la Administración y a otro personal de la organización
de servicios, incluyen observación, inspección de registros y otra documentación, como
asimismo a la repetición de la manera en que las transacciones son procesadas a través del
sistema y cómo los controles son aplicados. (Ver párrafos 19(b) y 20)
Obtener Evidencia Respecto al Diseño de los Controles (Ver párrafo 21)
A36.
Los riesgos y los objetivos de control identificados en el párrafo 21(a) cubren actos
intencionales y no intencionales que amenacen el logro de los objetivos de control. (Ver
párrafo 21(a))
A37.
Desde el punto de vista del auditor de la entidad usuaria, un control está adecuadamente
diseñado para lograr los objetivos de control indicados en la descripción por la
Administración del sistema de la organización de servicios, si individualmente o en
combinación con otros controles proporcionaría, cuando fuere cumplido en forma
satisfactoria, una seguridad razonable que se eviten, detecten y corrijan representaciones
incorrectas significativas. Sin embargo, un auditor de una organización de servicios no tiene
conocimiento de las circunstancias en las entidades usuarias individuales que afectarían si
una representación incorrecta resultante de una deficiencia de control sea o no significativa
para esas entidades usuarias. Por lo tanto, desde el punto de vista de un auditor de una
organización de servicios, un control está adecuadamente diseñado, si individualmente o en
combinación con otros controles proporcionaría, cuando fuere cumplido en forma
satisfactoria, una seguridad razonable que el o los objetivos de control indicados en la
descripción del sistema de la organización de servicios es o son logrados.
A38.
Un auditor de una organización de servicios puede considerar la utilización de flujogramas,
cuestionarios o tablas de decisión para facilitar su entendimiento del diseño de los
controles.
A39.
Los controles pueden consistir de un sinnúmero de actividades dirigidas al logro de varios
objetivos de control. En consecuencia, si el auditor de una organización de servicios evalúa
ciertas actividades como inefectivas para lograr un objetivo de control en particular, la
existencia de otras actividades puede permitir al auditor de una organización de servicios
que concluya que los controles relacionados con los objetivos de control están diseñados
adecuadamente para lograr el objetivo de control.
Obtener Evidencia Respecto a la Efectividad Operacional de los Controles (Ver párrafos 22-27)
A40.
Desde el punto de vista de un auditor de una entidad usuaria, un control está operando con
efectividad si individualmente o en combinación con otros controles, proporciona una
seguridad razonable que representaciones incorrectas significativas ya sea debido a fraude o
error son prevenidas, o detectadas y corregidas. Sin embargo, un auditor de una
organización de servicios no tiene conocimiento de las circunstancias en las entidades
usuarias individuales que afectarían si una representación incorrecta resultante de una
desviación en un control es o no significativa para esas entidades usuarias. Por lo tanto,
desde el punto de vista de un auditor de una organización de servicios, un control está
operando con efectividad si individualmente o en combinación con otros controles,
proporciona una seguridad razonable que los objetivos de control indicados en la
descripción por la Administración del sistema de la organización de servicios son logrados.
Igualmente, un auditor de una organización de servicios no está en una posición para
determinar si cualquier desviación en un control resultaría en una representación incorrecta
significativa desde el punto de vista de una entidad usuaria individual. (Ver párrafo 22)
A41.
Obtener un entendimiento de los controles que sea suficiente para opinar sobre lo adecuado
de su diseño no constituye evidencia suficiente respecto a su efectividad operacional a
menos que algún grado de automatización resulte en una operación uniforme de los
controles para lo que fueron diseñados e implementados. Por ejemplo, obtener información
respecto a la implementación de un control manual en un momento dado no proporciona
evidencia respecto a la operación del control en otros momentos distintos. Sin embargo,
debido a la inherente uniformidad del procesamiento TI, efectuar procedimientos para
determinar el diseño de un control automatizado y si ha sido implementado puede servir
como evidencia de la efectividad operacional de ese control, dependiendo de la evaluación
del auditor de la organización de servicios y efectuar pruebas de los controles, como
aquellos sobre los cambios de programas. (Ver párrafo 22)
A42.
Un informe Tipo 2 que cubre un período de tiempo menor a seis meses es improbable que
sea de utilidad para las entidades usuarias y sus auditores. Si la descripción por la
Administración del sistema de la organización de servicios cubre un período menor a seis
meses, la descripción puede comentar las razones por el menor período y el informe del
auditor de una organización de servicios puede también incluir esa información. Las
circunstancias que pueden originar un informe que cubre un período menor a seis meses
incluyen las siguientes:
El auditor de una organización de servicios fue contratado cerca de la fecha límite a
la cual el informe sobre los controles debe ser emitido y los controles no pueden ser
sometidos a pruebas para comprobar su efectividad operacional por un período de
seis meses
La organización de servicios o un sistema o aplicación en particular han estado
operando por menos de seis meses
Se han efectuado cambios significativos a los controles y no es práctico ya sea
esperar seis meses antes de emitir un informe o para emitir un informe cubriendo al
sistema tanto antes como después de los cambios. (Ver párrafo 23)
A43.
La evidencia respecto a la operación satisfactoria de los controles en períodos anteriores no
proporciona evidencia de la efectividad operacional de los controles durante el período
actual. El auditor de una organización de servicios expresa una opinión sobre la efectividad
de los controles durante el total de cada período, por lo tanto, se requiere de suficiente y
apropiada evidencia sobre la efectividad operacional de los controles durante todo el
período actual para que el auditor de una organización de servicios exprese esa opinión por
el período actual. Sin embargo, el conocimiento de desviaciones observadas en trabajos
anteriores pueden resultar en que el auditor de una organización de servicios incremente el
nivel de pruebas durante el período actual. (Ver párrafo 22)
A44.
Determinar el efecto de cambios en los controles de la organización de servicios que fueron
implementados durante el período cubierto por el informe del auditor de la organización de
servicios implica obtener información de la naturaleza y alcance de tales cambios, como
afectan los procesamientos en la organización de servicios y como podrían afectar las
afirmaciones en los estados financieros de las entidades usuarias. (Ver párrafos 14(b) y 23)
A45.
Ciertos controles pueden no dejar evidencia de su operación que puede ser sometida a
pruebas en una fecha posterior y, en consecuencia, el auditor de la organización de servicios
puede considerar apropiado efectuar pruebas de la efectividad operacional de tales controles
en distintos momentos durante todo el período sobre el cual se informa. (Ver párrafo 22)
Utilizar el Trabajo de la Función de Auditoría Interna
Obtener un Entendimiento de la Función de Auditoría Interna (Ver párrafo 28)
A46.
Una función de auditoría interna puede ser responsable de proporcionar análisis,
evaluaciones, seguridad, recomendaciones y otra información a la Administración y a los
encargados del Gobierno Corporativo. Una función de auditoría interna en una organización
de servicios puede efectuar actividades relacionadas con el control interno de la
organización de servicios o actividades relacionadas con servicios y sistemas, incluyendo
los controles que la organización de servicios proporciona a las entidades usuarias.
A47.
El alcance y los objetivos de una función de auditoría interna varían ampliamente y
dependen del tipo y de la estructura de la organización de servicios y de los requerimientos
de la Administración y de los encargados del Gobierno Corporativo. Las actividades de la
función de auditoría interna pueden incluir una o más de las siguientes:
Monitoreo del control interno o de los sistemas de procesamiento de aplicaciones de
la organización de servicios. Esto puede incluir los controles pertinentes a los
servicios proporcionados a entidades usuarias. Se puede asignar a la función de
auditoría interna una responsabilidad específica por la revisión de controles,
monitoreo de su operación y recomendando mejoras a los mismos.
Examen de la información financiera y operacional. La función de auditoría interna
puede ser asignada para revisar los medios por los cuales la organización de
servicios identifica, mide, clasifica e informa la información financiera y
operacional, para efectuar indagaciones respecto a asuntos específicos y efectuar
otros procedimientos incluyendo pruebas detalladas de transacciones, saldos y
procedimientos.
Evaluación de la economía, eficiencia y efectividad de las actividades
operacionales, incluyendo actividades no financieras de la organización de
servicios.
Evaluación del cumplimiento con leyes, regulaciones y otros requerimientos
externos y con las políticas, directrices y otros requerimientos internos.
Utilizar el Trabajo de la Función de Auditoría Interna (Ver párrafos 31-32)
A48.
La naturaleza, oportunidad y alcance de los procedimientos del auditor de la organización
de servicios del trabajo específico de los auditores internos dependerá de la evaluación del
auditor de la organización de servicios de la importancia de ese trabajo para las
conclusiones del auditor de la organización de servicios (por ejemplo, la importancia de los
riesgos que los controles tienden a mitigar), la evaluación de la función de auditoría interna
y la evaluación del trabajo específico de los auditores internos. Tales procedimientos
pueden incluir lo siguiente:
Examen de partidas ya examinadas por los auditores internos.
Examen de otras partidas similares.
Observar los procedimientos efectuados por los auditores internos.
Efecto Sobre el Informe del Auditor de la Organización de Servicios (Ver párrafos 33-34)
A49.
La responsabilidad de informar sobre la descripción por la Administración del sistema de la
organización de servicios y lo adecuado del diseño y efectividad operacional de los
controles, corresponde únicamente al auditor de la organización de servicios y no puede ser
compartida con la función de auditoría interna. En consecuencia, los juicios sobre la
importancia de las desviaciones en el diseño y en la efectividad operacional de los
controles, la suficiencia de las pruebas efectuadas, la evaluación de las deficiencias
identificadas y otros asuntos que afectan al informe del auditor de la organización de
servicios, son los del auditor de la organización de servicios. Al hacer juicios sobre el
alcance del efecto del trabajo de la función de auditoría interna sobre los procedimientos del
auditor de la organización de servicios, el auditor de la organización de servicios puede
determinar, a base del riesgo asociado con los controles y la importancia de los juicios
relacionados con éstos, que el auditor de la organización de servicios efectuará el trabajo
relacionado con algunos o todos los controles, en vez de utilizar el trabajo efectuado por la
función de auditoría interna.
A50.
En el caso de un informe Tipo 2, cuando el trabajo de la función de auditoría interna ha sido
utilizado para efectuar pruebas de los controles, la descripción del auditor de la
organización de servicios de ese trabajo y de los procedimientos del auditor de la
organización de servicios en relación con ese trabajo, puede ser presentado en un sinnúmero
de maneras, por ejemplo, (Ver párrafos 34 y 52(o)(i))
incluyendo material introductorio a la descripción de las pruebas de los controles,
indicando que cierto trabajo de la función de auditoría interna fue utilizado para
efectuar las pruebas de los controles
asignando pruebas individuales a la función de auditoría interna.
Representaciones Escritas (Ver párrafos 36-39)
A51.
Representaciones escritas reafirmando la afirmación de la organización de servicios
respecto a la efectiva operación de los controles pueden estar basadas en actividades de
monitoreo permanentes, evaluaciones independientes, o una combinación de ambos. (Ver
párrafo A12)
A52.
En ciertas circunstancias, un auditor de la organización de servicios puede obtener
representaciones escritas de otras partes, además de la Administración de la organización de
servicios, tales como de los encargados del Gobierno Corporativo.
A53.
Las representaciones escritas requeridas por el párrafo 36 son independientes a y
adicionales a la afirmación incluida en o adjunta a la descripción por la Administración del
sistema de la organización de servicios requerida por el párrafo 9(c)(vii).
A54.
Si el auditor de la organización de servicios no puede obtener representaciones escritas
respecto a los objetivos de control pertinentes y los controles relacionados en la
organización de sub-servicios, la Administración de la organización de servicios no podría
utilizar el método inclusivo pero podría utilizar el método de exclusión.
A55.
Además de las representaciones escritas requeridas por el párrafo 36, el auditor de la
organización de servicios puede considerar necesario solicitar otras representaciones
escritas.
Otra Información
A56.
La “otra información” a la cual se refieren los párrafos 40-41 puede ser la siguiente:
Información proporcionada por la organización de servicios e incluida en una
sección del informe Tipo 1 o Tipo 2 del auditor de la organización de servicios, o
Información separada del informe Tipo 1 o Tipo 2 del auditor de la organización de
servicios, e incluida en un documento que incorpora el informe del auditor de la
organización de servicios. Esta otra información puede ser proporcionada por la
organización de servicios o por otra parte. (Ver párrafos 40, 52(c)(ii)-(iii) y
53(c)(ii)–(iii))
A57.
Si la otra información incluida en un documento que incorpora la descripción por la
Administración del sistema de la organización de servicios y el informe del auditor de la
organización de servicios incluye información orientada al futuro que no pueda ser
comprobada razonablemente, el auditor de la organización de servicios puede solicitar que
la información sea eliminada o modificada. (Ver párrafo 41)
Documentación
A58.
El párrafo 57 de la Declaración sobre Normas de Calidad Nº 7, El Sistema de Control de
Calidad de una Firma (Sección CC 10), requiere que la firma establezca políticas y
procedimientos que traten el desempeño del trabajo, responsabilidades de supervisión y de
revisión. Este requerimiento de documentar quién revisó el trabajo efectuado y el alcance
de la revisión, de acuerdo con las políticas y procedimientos de la firma que tratan las
responsabilidades de una revisión, no implica una necesidad que cada papel de trabajo
específico incluya evidencia de su revisión. Sin embargo, el requerimiento significa
documentar qué trabajo fue revisado, quién revisó tal trabajo y cuándo fue revisado. (Ver
párrafo 44)
Preparar El informe del Auditor de la Organización de Servicios
Contenido del Informe del Auditor de la Organización de Servicios (Ver párrafos 52-53)
A59.
Ejemplos de informes de auditores de la organización de servicios se presentan en los
Anexos A-C y de afirmaciones ilustrativas por la Administración se presentan en la Planilla
A.
A60.
La afirmación de la organización de servicios puede ser presentada en la descripción por la
Administración del sistema de la organización de la organización de servicios o puede ser
adjuntada a la descripción. (Ver párrafos 52(e) y 53(e))
Utilizar el Informe del Auditor de la Organización de Servicios (Ver párrafos 52(p) y 53(o))
A61.
El párrafo 79 de la Sección AT 101 requiere que el uso de un informe de un profesional sea
restringido a partes especificadas cuando los criterios utilizados para evaluar o medir la
materia a evaluar sólo estén disponibles a partes especificadas o sólo apropiados para un
número limitado de partes quienes ya sea participaron en establecerlos o quienes se
presume que tienen un adecuado entendimiento de los criterios. Los criterios utilizados para
trabajos para informar sobre controles en la organización de servicios sólo son pertinentes
para el propósito de proporcionar información sobre el sistema de la organización de
servicios, incluyendo los controles, a quienes tienen un entendimiento de cómo el sistema
es utilizado en el proceso de preparación y presentación de información financiera por
entidades usuarias y, en consecuencia, el informe del auditor de la organización de servicios
indica que el informe y la descripción de pruebas de los controles sólo tienen por propósito
su uso por la Administración de la organización de servicios, entidades usuarias de la
organización de servicios (“durante parte o todo el período cubierto por el informe” para
un informe Tipo 2 y “a la fecha de cierre del período cubierto por el informe” para un
informe Tipo 1) y sus auditores. (Los informes ilustrativos de auditores de la organización
de servicios en el Anexo A, ilustran el lenguaje para un párrafo que restringe el uso de un
informe de un auditor de la organización de servicios).
A62.
El párrafo 79 de la Sección AT 101 indica que la necesidad para restringir un informe
puede resultar de un sinnúmero de circunstancias, incluyendo al potencial que el informe
sea malentendido al ser considerado fuera del contexto dentro del cual se pretendía que
fuere utilizado y la medida en que los procedimientos efectuados son conocidos y
entendidos.
A63.
Aún cuando el auditor de la organización de servicios no es responsable por controlar la
distribución por la organización de servicios de un informe de un auditor de la organización
de servicios, un auditor de la organización de servicios puede informar a la organización de
servicios de lo siguiente:
No se tiene la intención que un informe Tipo 1 sea distribuido a partes que sean
distintas a la organización de servicios, entidades usuarias del sistema de la
organización de servicios al final del período cubierto por el informe del auditor de
la organización de servicios y auditores de las entidades usuarias
No se tiene la intención que un informe Tipo 2 sea distribuido a partes que sean
distintas a la organización de servicios, entidades usuarias del sistema de la
organización de servicios durante parte o todo el período cubierto por el informe
del auditor de la organización de servicios y auditores de las entidades usuarias.
A64.
Una entidad usuaria también es considerada una entidad usuaria de las organizaciones de
sub-servicios de la organización de servicios, si los controles en las organizaciones de subservicios son pertinentes al control interno sobre el proceso de preparación y presentación
de información financiera de la entidad usuaria. En tal caso, la entidad usuaria es
considerada como una entidad usuaria indirecta o de nivel secundario respecto a la
organización de sub-servicios. En consecuencia, una entidad usuaria indirecta o de nivel
secundario puede ser incluida en el grupo a quienes el uso del informe del auditor de la
organización de servicios está restringida, si los controles en la organización de servicios
son pertinentes al control interno sobre el proceso de preparación y presentación de
información financiera de tal entidad usuaria indirecta o de nivel secundario.
Descripción de las Pruebas de Controles del Auditor de la Organización de Servicios y los
Resultados de los Mismos (Ver párrafo 52(o)(ii))
A65.
Al describir las pruebas de controles del auditor de la organización de servicios para un
informe Tipo 2, ayuda a los lectores si el informe del auditor de la organización de servicios
incluye información sobre los factores causales para las desviaciones identificadas, en la
medida que el auditor de la organización de servicios ha identificado tales factores.
Opiniones Modificadas (Ver párrafos 55-57)
A66.
Ejemplos de elementos de informes modificados del auditor de la organización de servicios
se presentan en el Anexo B.
Otras Responsabilidades de Comunicación (Ver párrafo 58)
A67.
Las acciones que un auditor de la organización de servicios puede efectuar al tomar
conocimiento de incumplimientos de leyes y regulaciones, fraudes o errores no corregidos
en la organización de servicios (después de dar consideración adicional a instancias en las
cuales la organización de servicios no ha comunicado apropiadamente esta información a
las entidades usuarias afectadas y la organización no desea hacerlo) incluyen las siguientes:
Obtener consejo legal respecto a las consecuencias de los distintos cursos de acción.
Comunicarse con los encargados del Gobierno Corporativo de la organización de
servicios.
Abstenerse de opinar, modificar la opinión del auditor de la organización de
servicios o agregando un párrafo de énfasis.
Comunicarse con terceros, por ejemplo, con un regulador, cuando esté requerido
para hacerlo.
Retirarse del trabajo.
A68.
Anexo A: Informes Ilustrativos de un Auditor de una Organización de
Servicios
Los siguientes informes ilustrativos son sólo como guías y no tienen la intención de ser exhaustivos
ni aplicables a todas las situaciones
Ejemplo 1: Informe Tipo 2 de un Auditor de la Organización de Servicios
Informe de un Auditor Independiente de una organización de Servicios sobre una Descripción
de un Sistema de una Organización de Servicios y lo Adecuado del Diseño y de la Efectividad
Operacional de los Controles
A: Organización de Servicios XYZ
Alcance
Hemos examinado la descripción del sistema (tipo o nombre de) de la Organización de Servicios
XYZ para procesar las transacciones de las entidades usuarias (o identificación de la función
efectuada por el sistema) durante todo el período (fecha) a (fecha) (descripción) y lo adecuado del
diseño y efectividad operacional de los controles para lograr los objetivos de control relacionados
Responsabilidades de la Organización de Servicios
En la página xx de la descripción, la Organización de Servicios XYZ ha proporcionado una
afirmación respecto a la razonabilidad de la presentación de la descripción y de lo adecuado del
diseño y de la efectividad operacional de los controles para lograr los objetivos de control
relacionados indicados en la descripción. La Organización de Servicios XYZ es responsable por
preparar la descripción y la afirmación, proporcionando los servicios cubiertos por la descripción,
especificar los objetivos de control e identificarlos en la descripción, identificar los riesgos que
amenazan el logro de los objetivos de control, seleccionar los criterios e implementar y documentar
los controles para lograr los objetivos de control relacionados indicados en la descripción.
Responsabilidad del Auditor de una Organización de Servicios
Nuestra responsabilidad es expresar una opinión sobre la razonabilidad de la presentación y de la
descripción y de lo adecuado del diseño y de la efectividad operacional de los controles para lograr
los objetivos de control relacionados indicados en la descripción, a base de nuestro examen.
Efectuamos nuestro examen de acuerdo con las normas de atestiguación establecidas por el Colegio
de Contadores de Chile. Esas normas requieren que planifiquemos y efectuemos nuestro examen
para obtener una seguridad razonable respecto a si, en todos sus aspectos significativo, la
descripción esta presentada razonablemente y que los controles fueron diseñados adecuadamente y
están operando con efectividad para lograr los objetivos de control relacionados indicados en la
descripción durante todo el período (fecha) a (fecha).
Un examen de una descripción del sistema de una organización de servicios y de lo adecuado del
diseño y de la efectividad operacional de los controles de la organización de servicios para lograr
los objetivos de control relacionados indicados en la descripción, implica efectuar procedimientos
para obtener evidencia respecto a la razonabilidad de la presentación de la descripción y de lo
adecuado que es el diseño y la efectividad operacional de esos controles para lograr los objetivos de
control relacionados indicados en la descripción. Nuestros procedimientos incluyeron evaluar
riesgos que la descripción no está presentada razonablemente y que los controles no estaban
diseñados adecuadamente ni operaban con efectividad para lograr los objetivos de control
relacionados indicados en la descripción. Nuestros procedimientos también incluyeron efectuar
pruebas de la efectividad operacional de esos controles que nosotros consideramos necesarios para
proporcionar una seguridad razonable que los objetivos de control relacionados indicados en la
descripción fueron logrados. Un examen de este tipo también incluye evaluar la presentación
general de la descripción y lo adecuado de los objetivos de control allí indicados y de lo adecuado
de los criterios especificados por la organización de servicios y descritos en la página (aa).
Consideramos que la evidencia que obtuvimos es suficiente y apropiada para proporcionar una base
razonable para nuestra opinión.
Limitaciones Inherentes
Debido a su naturaleza, los controles en una organización de servicios pueden no prevenir, o
detectar y corregir, todos los errores u omisiones en el procesamiento o en el proceso de informar
transacciones (o identificación de la función efectuada por el sistema). Además, la proyección al
futuro de cualquier evaluación de la razonabilidad de la presentación de la descripción, o
conclusiones respecto a lo adecuado del diseño y de la efectividad operacional de los controles para
lograr los objetivos de control relacionados, está sujeta al riesgo que los controles en una
organización de servicios puedan convertirse en inadecuados o fallar.
Opinión
En nuestra opinión, en todos sus aspectos significativos, a base de los criterios descritos en la
afirmación de la Organización de Servicios XYZ en la página (aa)
a. la descripción presenta razonablemente el sistema (tipo o nombre de éste) que fue diseñado
e implementado durante todo el periodo (fecha) a (fecha).
b. los controles relacionados con los objetivos de control indicados en la descripción fueron
adecuadamente diseñados para proporcionar una seguridad razonable que los objetivos de
control serían logrados si los controles operaban con efectividad durante todo el período
(fecha) a (fecha).
c. los controles que fueron sometidos a pruebas por nosotros, que fueron los necesarios para
proporcionar una seguridad razonable que los objetivos de control indicados en la
descripción fueren logrados, operaron con efectividad durante todo el período (fecha) a
(fecha).
Descripción de las Pruebas de Controles
Los controles específicos que fueron sometidos a pruebas y la naturaleza, oportunidad y resultados
de esas pruebas están listados en las páginas (yy-zz).
Uso Restringido
Este informe, incluyendo la descripción de las pruebas de los controles y los resultados de las
mismas en las páginas (yy-zz) tiene como objetivo ser únicamente para la información y uso de la
Organización de Servicios XYZ, entidades usuarias del sistema de la Organización de Servicios
XYZ (tipo o nombre de éstas) y los auditores independientes de tales entidades usuarias, quienes
tienen un entendimiento suficiente para considerarlo, junto con otra información, incluyendo
información respecto a los controles implementados por las mismas entidades usuarias, al evaluar
los riesgos de representaciones incorrectas significativas de los estados financieros de las entidades
usuarias. Este informe no tiene por objetivo ser y no debiera ser utilizado por nadie que no sean
estas partes especificadas.
(Firma del auditor de la organización de servicios)
(Fecha del informe del auditor de la organización de servicios)
(Ciudad y región del auditor de la organización de servicios)
La siguiente es una modificación del párrafo del alcance en un informe Tipo 2 del auditor de la
organización de servicios si la descripción se refiere a la necesidad de controles complementarios en
la entidad usuaria (El nuevo lenguaje se muestra en cursivas y negrillas):
Hemos examinado la descripción por la Organización de Servicios XYZ de su sistema (tipo
o nombre de ésta) para procesar las transacciones de las entidades usuarias (o identificación
de la función efectuada por el sistema) durante todo el período (fecha) a (fecha)
(descripción) y lo adecuado del diseño y de la efectividad operacional de los controles para
lograr los objetivos de control relacionados indicados en la descripción. La descripción
indica que ciertos objetivos de control especificados en la descripción sólo pueden ser
logrados si los controles complementarios en la entidad usuaria contemplados en el
diseño de los controles de la Organización de Servicios XYZ están adecuadamente
diseñados y operando con efectividad, junto con los controles relacionados en la
organización de servicios. No hemos evaluado lo adecuado del diseño o la efectividad
operacional de tales controles complementarios en la entidad usuaria.
La siguiente es una modificación de los sub-párrafos aplicables del párrafo de la opinión de un
informe Tipo 2 de un auditor de la organización de servicios si la aplicación de controles
complementarios en la entidad usuaria es necesaria para lograr los objetivos de control relacionados
indicados en la descripción del sistema de la organización de servicios (El nuevo lenguaje se
muestra en cursivas y negrillas):
b. Los controles relacionados con los objetivos de control indicados en la descripción
fueron diseñados adecuadamente para proporcionar una seguridad razonable que
esos objetivos de control serían logrados si los controles operaban con efectividad
durante todo el período (fecha) a (fecha) y las entidades usuarias aplicaban los
controles complementarios en las entidades usuarias contempladas en el diseño
de los controles de la Organización de Servicio XYZ durante todo el período
(fecha) a (fecha).
c. Los controles sometidos a pruebas, que junto con los controles complementarios
en la entidad usuaria mencionados en el párrafo de alcance de este informe, si
éstos operan con efectividad, fueron los necesarios para proporcionar una
seguridad razonable que los objetivos de control indicados en la descripción fueron
logrados, operaron con efectividad durante todo el período (fecha) a (fecha).
La siguiente es una modificación del párrafo que describe las responsabilidades de la
Administración de la organización de servicios para ser utilizado en un informe Tipo 2 de un
auditor de una organización de servicios, cuando los objetivos de control han sido especificados por
una parte externa (El nuevo lenguaje se muestra en cursivas y negrillas):
afirmación respecto a la razonabilidad de la presentación de la descripción y de lo adecuado
del diseño y de la efectividad operacional de los controles para lograr los objetivos de
control relacionados indicados en la descripción. La Organización de Servicios XYZ es
responsable por la preparación de la descripción y por su afirmación, incluyendo la
integridad, exactitud y método de presentación de la descripción y la afirmación,
proporcionando los servicios cubiertos por la descripción, seleccionar los criterios y
diseñar, implementar y documentar los controles para lograr los objetivos de control
relacionados indicados en la descripción. Los objetivos de control han sido especificados
por (nombre de la parte que especifica los objetivos de control) y se indican en la página
(aa) de la descripción.
Ejemplo 2: Informe Tipo 1 de un Auditor de una Organización de Servicios
Informe del Auditor Independiente de una Organización de Servicios sobre una Descripción
de un Sistema de una Organización de Servicios y de lo Adecuado del Diseño de los Controles
A la Organización de Servicios XYZ
Alcance
Hemos examinado la descripción de la Organización de Servicios XYZ de su sistema (tipo o
nombre de éste) para procesar las transacciones de las entidades usuarias (o identificación de la
función efectuada por el sistema) al (fecha) y lo adecuado del diseño y efectividad operacional de
los controles para lograr los objetivos de control relacionados indicados en la descripción.
Responsabilidades de la Organización de Servicios
afirmación respecto a la razonabilidad de la presentación de la descripción y de lo adecuado del
diseño de los controles para lograr los objetivos de control relacionados indicados en la descripción.
La organización de Servicios XYZ es responsable por preparar la descripción y por su afirmación,
incluyendo la integridad, exactitud y método de presentación de la descripción y de la afirmación,
proporcionando servicios cubiertos por la descripción, especificar los objetivos de control e
identificarlos en la descripción, identificar los riesgos que amenazan el logro de los objetivos de
control, seleccionar los criterios y diseñar, implementar y documentar los controles para lograr los
objetivos de control relacionados indicados en la descripción.
Responsabilidades del Auditor de una Organización de Servicios
Nuestra responsabilidad es expresar una opinión sobre la razonabilidad de la presentación de la
descripción y de lo adecuado del diseño de los controles para lograr los objetivos de control
relacionados indicados en la descripción, a base de nuestro examen. Efectuamos nuestro examen de
acuerdo con las normas de atestiguación establecidas por el Colegio de Contadores de Chile. Esas
normas requieren que planifiquemos y efectuemos nuestro examen para obtener una seguridad
razonable, en todos sus aspectos significativos, respecto a si la descripción esta presentada
razonablemente y que los controles fueron diseñados adecuadamente para lograr los objetivos de
control relacionados indicados en la descripción al (fecha).
Un examen de una descripción del sistema de una organización de servicios y de lo adecuado del
diseño de los controles de la organización de servicios para lograr los objetivos de control
relacionados indicados en la descripción, implica efectuar procedimientos para obtener evidencia
respecto a la razonabilidad de la presentación de la descripción y de lo adecuado que es el diseño de
los controles para lograr los objetivos de control relacionados indicados en la descripción. Nuestros
procedimientos incluyeron evaluar los riesgos que la descripción no esté presentada razonablemente
y que los controles no fueron diseñados adecuadamente para lograr los objetivos de control
relacionados indicados en la descripción. Un examen de este tipo también incluye evaluar la
presentación general de la descripción y de lo adecuado de los objetivos de control allí indicados y
de lo adecuado de los criterios especificados por la organización de servicios y descritos en la
página (aa).
No efectuamos ningún procedimiento respecto a la efectividad operacional de los controles
indicados en la descripción y, en consecuencia, no expresamos una opinión al respecto.
Consideramos que la evidencia que obtuvimos es suficiente y apropiada para proporcionar una base
razonable para nuestra opinión.
Debido a su naturaleza, los controles en una organización de servicios pueden no prevenir, detectar
y corregir, todos los errores u omisiones para procesar e informar transacciones (o identificación de
la función efectuada por el sistema). La proyección al futuro de cualquier evaluación de la
razonabilidad de la presentación de la descripción, o cualquier conclusión respecto a la
razonabilidad del diseño de los controles para lograr los objetivos de control relacionados está
sujeta al riesgo que los controles en una organización de servicios puedan convertirse en
inadecuados o fallar.
Opinión
En nuestra opinión, en todos sus aspectos significativos, a base de los criterios descritos en la
afirmación de la Organización de Servicios XYZ,
a. la descripción presenta razonablemente el sistema (tipo o nombre de éste) que fue diseñado
e implementado al (fecha) y
b. los controles relacionados con los objetivos de control fueron diseñados para proporcionar
una seguridad razonable que los objetivos de control serían logrados si los controles
operaban con efectividad al (fecha).
Uso Restringido
Este informe tiene el propósito de ser únicamente para la información y uso de la Organización de
Servicios XYZ, entidades usuarias del sistema (tipo o nombre de éste) de la Organización de
Servicios XYZ al (fecha) y los auditores independientes de tales entidades usuarias, que tienen un
entendimiento suficiente para considerarlo, junto con otra información incluyendo información
sobre controles implementados por las mismas entidades usuarias, al obtener un entendimiento de
los sistemas de información y comunicación de las entidades usuarias pertinentes al proceso de
preparación y presentación de información financiera. Este informe no tiene el propósito de ser y no
debiera ser utilizado por nadie que no sean estas entidades especificadas.
(Firma del auditor de la organización de servicios)
(Fecha del informe del auditor de la organización de servicios)
(Ciudad y región del auditor de la organización de servicios)
La siguiente es una modificación del párrafo del alcance en un informe Tipo 1 si la descripción del
sistema de la organización de servicios se refiere a la necesidad de controles complementarios en la
entidad usuaria. (El nuevo lenguaje se muestra en cursivas y negrillas):
Hemos examinado la descripción de la Organización de Servicios XYZ de su servicio (tipo
y nombre de) puesto a disposición de las entidades usuarias para procesar sus transacciones
(o identificación de la función efectuada por el sistema) al (fecha) y de lo adecuado del
diseño de los controles para lograr los objetivos de control relacionados indicados en la
descripción. La descripción indica que ciertos controles complementarios en la entidad
usuaria deben estar diseñados adecuadamente e implementados en las entidades usuarias
para que los controles relacionados en la organización de servicios sean considerados
diseñados adecuadamente para lograr los objetivos de control relacionados. No hemos
evaluado lo adecuado del diseño o la efectividad operacional de tales controles
complementarios en las entidades usuarias.
La siguiente es una modificación del sub-párrafo aplicable en el párrafo de la opinión de un informe
Tipo 1 si la aplicación de controles complementarios en la entidad usuaria es necesaria para lograr
los objetivos de control relacionados indicados en la descripción por la Administración del sistema
de la organización de servicios. (El nuevo lenguaje se muestra en cursivas y negrillas):
b. Los controles relacionados con los objetivos de control indicados en la descripción
fueron diseñados adecuadamente para proporcionar una seguridad razonable que
esos objetivos de control serían logrados si los controles operaban con efectividad
al (fecha) y las entidades usuarias aplicaban los controles complementarios en la
entidad usuaria contemplados en el diseño de los controles de la Organización de
Servicios XYZ al (fecha).
La siguiente es una modificación del párrafo que describe las responsabilidades de la
Administración de la Organización de Servicios XYZ a ser utilizados en un informe Tipo 1 cuando
los objetivos de control han sido especificados por una parte externa. (El nuevo lenguaje se muestra
en cursivas y negrillas):
afirmación respeto a la razonabilidad de la presentación de la descripción y de lo adecuado
del diseño de los controles para lograr los objetivos del control relacionados indicados en la
descripción. La Organización de Servicios XYZ es responsable por preparar la descripción
y la afirmación, incluyendo la integridad, exactitud y método de presentación de la
descripción y la afirmación, proporcionar los servicios cubiertos por la descripción,
seleccionar los criterios y diseñar, implementar y documentar los controles para lograr los
objetivos de control relacionados indicados en la descripción. Los objetivos de control han
sido especificados por (nombre de la parte que especifica los objetivos de control) y se
indican en la página (aa) de la descripción.
A69.
Anexo B: Ilustración de Informes Modificados de Auditores de
Organizaciones de Servicios
Los siguientes ejemplos de informes modificados de auditores de organizaciones de servicios son
sólo guías y no tienen por objetivo ser exhaustivos ni aplicables a todas las situaciones. Están
basados en los informes ilustrativos en el Anexo A.
Ejemplo 1: Opinión con Salvedades para un Informe Tipo 2 – La Descripción del Sistema de
la Organización de Servicios no está Presentada Razonablemente en todos sus Aspectos
Significativos
El siguiente es un párrafo ilustrativo describiendo la base para una opinión con salvedades. El
párrafo sería inserto antes del párrafo modificado de la opinión. Todos los demás párrafos del
informe continúan sin cambios.
Base para una Opinión con Salvedades
La descripción adjunta indica en página (mn) que la Organización de Servicios XYZ utiliza
números de identificación y contraseñas para los operadores con el objeto de prevenir el acceso no
autorizado al sistema. A base de indagaciones al personal y de observar las actividades, hemos
determinado que se utilizan números de identificación y contraseñas en las aplicaciones A y B pero
no son requeridas para acceder al sistema en las aplicaciones C y D.
Opinión
En nuestra opinión, excepto por el asunto descrito en el párrafo anterior y a base de los criterios
descritos en la afirmación de la Organización de Servicios XYZ en la página (aa), en todos sus
aspectos significativos...
Ejemplo 2: Opinión con Salvedades – Los Controles no están Diseñados Adecuadamente para
Proporcionar una Seguridad Razonable que los Objetivos de Control Indicados en la
Descripción del Sistema de la Organización de Servicios serían Logrados si los Controles
Operaran con Efectividad.
El siguiente es un párrafo ilustrativo describiendo la base para una opinión con salvedades. El
párrafo sería inserto antes del párrafo modificado de la opinión. Todos los demás párrafos del
informe continúan sin cambios.
Base para una Opinión con Salvedades
Como se analiza en la página (mn) de la descripción adjunta, periódicamente la Organización de
Servicios XYZ efectúa cambios en los programas de aplicaciones para corregir deficiencias o para
mejorar las capacidades. Los procedimientos seguidos para determinar si efectuar cambios, en
diseñar cambios y en implementarlos, no incluyen la revisión y aprobación por personas autorizadas
que sean independientes de aquellos involucrados en efectuar los cambios. No existen
requerimientos especificados para efectuar pruebas de tales cambios o para proporcionar resultados
de las pruebas a un revisor autorizado antes de implementar los cambios. Como resultado, los
controles no están diseñados adecuadamente para lograr el objetivo de control, “Los controles
proporcionan una seguridad razonable que cambios a las aplicaciones existentes están autorizados,
sometidos a pruebas, aprobados, implementados correctamente y documentados.”
Opinión
Ejemplo 3: Opinión con Salvedades para un Informe Tipo 2 – Los Controles no Operaron con
Efectividad Durante Todo el Período Especificado para Lograr los Objetivos de Control
Indicados en la Descripción del Sistema de la Organización de Servicios
El siguiente es un párrafo ilustrativo describiendo la base para la opinión con salvedades. El párrafo
sería inserto antes del párrafo de la opinión modificada. Todos los demás párrafos del informe
continúan sin cambios.
Base para la Opinión con Salvedades
La Organización de Servicios XYZ indica en su descripción que ha automatizado los controles
existentes para conciliar los cobros de préstamos con los distintos informes que emite. Sin
embargo, como se indica en página (mn) de la descripción de las pruebas de controles y los
resultados de los mismos, este control no estuvo operando con efectividad durante todo el período
(fecha) a (fecha) debido a un error de programación. Esto resultó en que no se logró el objetivo de
control “Los controles proporcionan una seguridad razonable que los cobros de préstamos están
registrados correctamente” durante todo el período 1 de enero de 20X1 al 30 de abril de 20X1. La
Organización de Servicios XYZ implementó un cambio en el programa que efectúa el calculo desde
el 1 de mayo de 20X1 y nuestras pruebas indican que estuvo operando con efectividad durante todo
el período 1 de mayo de 20X1 al 31 de diciembre de 20X1.
Opinión
En nuestra opinión, excepto por el asunto mencionado en el párrafo anterior y a base de los criterios
aspectos significativos…
Ejemplo 4: Opinión con Salvedades – El Auditor de la Organización de Servicios no Puede
Obtener Suficiente y Apropiada Evidencia
El siguiente es un párrafo ilustrativo describiendo la base para la opinión con salvedades. El párrafo
sería inserto antes del párrafo de la opinión modificada. Todos los demás párrafos del informe
continúan sin cambios.
Base para la Opinión con Salvedades
La Organización de Servicios XYZ indica en su descripción que ha automatizado los controles
existentes para conciliar el cobro de préstamos con los informes generados. Sin embargo, los
registros electrónicos de haber efectuado esta conciliación por el período (fecha) a (fecha) fueron
eliminados como consecuencia de un error de procesamiento y, por lo tanto, no nos fue posible
efectuar pruebas del funcionamiento de este control para ese período. En consecuencia no pudimos
determinar si el objetivo de control “Los controles proporcionan una seguridad razonable que los
cobros de préstamos fueron registrados correctamente” fue logrado durante todo el período (fecha)
a (fecha).
Opinión
A70.
Anexo C: Párrafos Ilustrativos del Informe para Organizaciones de
Servicios que Utilizan a una Organización de Sub-Servicios
A continuación se presentan modificaciones al informe ilustrativo Tipo 2 en el ejemplo 1 del Anexo
A para utilizar en trabajos en los cuales la organización de servicios utiliza a una organización de
sub-servicios. (El nuevo lenguaje se muestra en cursivas y negrillas; el lenguaje eliminado está
tachado).
Ejemplo 1: Método de Exclusión
Alcance
Hemos examinado la descripción por la Organización de Servicios XYZ de su sistema para procesar
las transacciones de las entidades usuarias (o identificación de la función efectuada por el sistema)
durante todo el período (fecha) a (fecha) (descripción) y lo adecuado del diseño y de la efectividad
operacional de los controles para lograr los objetivos de control relacionados indicados en la
descripción.
La Organización de Servicios XYZ utiliza a una organización de servicios de procesamiento
computacional para todos sus procesos de aplicaciones computarizadas. La descripción en las
páginas (bb-cc) sólo incluye los controles y objetivos de control relacionados en la Organización
de Servicios XYZ y excluye los objetivos de control y controles relacionados en la organización de
servicios de procesamiento computacional. Nuestro examen no cubrió los controles de la
organización de servicios de procesamiento computacional.
Todos los demás párrafos del informe continúan sin cambios.
Ejemplo 2: Método Inclusivo
Alcance
Hemos examinado las descripciones del los sistemas (tipo o nombres de) de la Organización de
Servicios XYZ y de la Organización de Sub-Servicios ABC para procesar las transacciones de las
entidades usuarias (o identificación de la función efectuada por el sistema) durante todo el período
(fecha) a (fecha) (descripción) y lo adecuado del diseño y de la efectividad operacional de los
controles de la Organización de Servicios XYZ y de la Organización de Sub-Servicios ABC, para
lograr los objetivos de control relacionados indicados en la descripción. La Organización de SubServicios ABC, es una organización independiente que proporciona servicios de procesamiento
computacional a la Organización de Servicios XYZ. La descripción de la Organización de
Servicios XYZ incluye una descripción del sistema (tipo o nombre de) de la Organización de SubServicios ABC utilizada por la Organización de Servicios XYZ para procesar transacciones para
sus entidades usuarias, como asimismo los controles pertinentes y los controles de la
Organización de Sub-Servicios ABC.
Responsabilidades de la Organización de Servicios XYZ
En la página xx de la descripción, la Organización de Servicios XYZ y la Organización de SubServicios ABC ha han proporcionado una sus afirmaciones respecto a la razonabilidad de la
presentación de la descripción y lo adecuado del diseño y de la efectividad operacional de los
controles para lograr los objetivos de control indicados en la descripción. La Organización de
Servicios XYZ y la Organización de Sub-Servicios ABC es son responsables por preparar la
descripción y la(s) afirmación(es), proporcionar los servicios cubiertos por la descripción,
especificar los objetivos de control e indicarlos en la descripción, identificar los riesgos que
amenazan el logro de los objetivos de control, seleccionar los criterios y diseñar, implementar y
documentar los controles para lograr los objetivos de control relacionados indicados en la
descripción.
Debido a su naturaleza, los controles en una organización de servicios o en una organización de
sub-servicios pueden no prevenir, o detectar y corregir todos los errores u omisiones en el
procesamiento y en informar las transacciones. Además, la proyección al futuro de cualquier
evaluación de la razonabilidad de la presentación de la descripción o cualquier conclusión respecto
a lo adecuado del diseño o de la efectividad operacional de los controles para lograr los objetivos de
control relacionados está sujeta al riesgo que los controles en la organización de servicios o en la
organización de sub-servicios pueden convertirse en inadecuados o fallar.
Opinión
En nuestra opinión, en todos sus aspectos significativos, a base de los criterios especificados en las
afirmaciones de la Organización de Servicios XYZ y de la Organización de Sub-Servicios ABC en
la página (aa):
a. La descripción presenta razonablemente el sistema (tipo o nombre de éste) de la
Organización de Servicios XYZ y de la Organización de Sub-Servicios ABC, utilizado por
la Organización de Servicios XYZ para procesar transacciones para sus entidades
usuarias (o identificación de la función efectuada por el sistema de la organización de
servicios) que fue(ron) diseñado(s) e implementado(s) durante todo el período (fecha) a
(fecha).
b. Los controles relacionados con los objetivos de control de la Organización de Servicios
XYZ y de la Organización de Sub-Servicios ABC indicados en la descripción, fueron
adecuadamente diseñados para proporcionar una seguridad razonable que los objetivos de
control serían logrados si los controles operaban en efectividad durante todo el período
(fecha) a (fecha).
c. Los controles de la Organización de Servicios XYZ y de la Organización de Sub-Servicios
ABC que fueron sometidos a pruebas por nosotros, los cuales eran los necesarios para
proporcionar una seguridad razonable que los objetivos de control indicados en la
descripción fueron logrados, operaron con efectividad durante todo el período (fecha) a
(fecha).
Todos los demás párrafos del informe continúan sin cambios.
A71.
Planilla A: Afirmaciones Ilustrativas de la Administración de una Organización de Servicios
La afirmación por la Administración de la organización de servicios puede ser incluida en la
descripción por la Administración del sistema de la organización de servicios o puede ser adjuntado
a la descripción. Las siguientes afirmaciones ilustrativas son para las afirmaciones que son incluidas
en la descripción.
Las siguientes afirmaciones ilustrativas por la Administración sólo son como guías y no pretenden
ser exhaustivas o aplicables a todas las situaciones.
Ejemplo 1: Afirmación por la Administración de una Organización de Servicios para un
Informe Tipo 2
Afirmación de la Organización de Servicios XYZ
Hemos preparado la descripción del sistema (tipo o nombre de éste) de la Organización de Servicios
XYZ para las entidades usuarias del sistema durante parte o todo el período (fecha) a (fecha) y sus
auditores de entidades usuarias quienes tiene un entendimiento suficiente para considerarla, junto
con otra información, incluyendo información respecto a controles implementados por las mismas
entidades usuarias del sistema, al evaluar los riesgos de representaciones incorrectas significativas
de los estados financieros de las entidades usuarias. Confirmamos que, de acuerdo a nuestro mejor
conocimiento y saber que:
a. la descripción presenta razonablemente al sistema (tipo o nombre de éste) para procesar sus
transacciones (o identificación de la función efectuada por el sistema). Los criterios que
utilizamos al efectuar esta afirmación fueron que la descripción.
i.
presenta como el sistema puesto a disposición de entidades usuarias fue diseñado e
implementado para procesar transacciones pertinentes, incluyendo:
(1) las clases de transacciones procesadas.
(2) los procedimientos, dentro de tanto los sistemas automatizados como
manuales, por los cuales esas transacciones son iniciadas, autorizadas,
registradas, procesadas, corregidas en la medida necesaria y traspasada a
los informes presentados a las entidades usuarias del sistema.
(3) los registros contables relacionados, información de respaldo y cuentas
especificas que son utilizados para iniciar, autorizar, registrar, procesar e
informar transacciones, incluyendo esto la corrección de la información
errónea y cómo la información es traspasada a los informes presentados a
las entidades usuarias del sistema.
(4) cómo el sistema capta y trata los hechos y las condiciones significativas,
distintos a las transacciones.
(5) el proceso utilizado para preparar informes u otra información
proporcionada a las entidades usuarias del sistema.
(6) objetivos de control especificado y controles diseñados para lograr esos
objetivos.
(7) otros aspectos de nuestro entorno de control, el proceso de evaluación de
riesgos, sistemas de información y de comunicación (incluyendo los
procesos de negocios relacionados), actividades de control y controles de
monitoreo que son pertinentes a procesar e informar las transacciones de
ii. no omite ni distorsiona información pertinente al alcance del sistema (tipo o nombre
de éste), mientras reconoce que la descripción se prepara para cumplir con las
necesidades comunes de un amplio rango de entidades usuarias del sistema y de los
auditores independientes de esas entidades usuarias, y por lo tanto, pueden no
incluir cada aspecto del sistema (tipo o nombre de éste) que cada entidad usuaria
individual del sistema y su auditor puedan considerar importante dentro de su
propio entorno en particular.
b. la descripción incluye detalles pertinentes de cambios al sistema de la organización de
servicios durante el período cubierto por la descripción, cuando la descripción cubre un
período de tiempo.
c. los controles relacionados con los objetivos de control indicados en la descripción fueron
diseñados adecuadamente y operaron con efectividad durante todo el período (fecha) a
(fecha) para lograr esos objetivos de control. Los criterios que utilizamos al efectuar esta
afirmación fueron que
i.
los riesgos que amenazan al logro de los objetivos de control indicados en la
descripción han sido identificados por la organización de servicios,
ii.
los controles identificados en la descripción proporcionarían, si operaron según lo
descrito, una seguridad razonable que esos riesgos no impedirían que los objetivos
de control indicados en la descripción no fueren logrados y
iii.
los controles fueron uniformemente aplicados para lo que fueron diseñados,
incluyendo si los controles manuales fueron aplicados por personas que tienen la
apropiada competencia y autoridad.
Ejemplo 2: Afirmación de la Administración de una Organización de Servicios para un
Informe Tipo 1.
Afirmación de la Organización de Servicios XYZ
Hemos preparado la descripción del sistema (tipo o nombre de éste) de la Organización de Servicios
XYZ para las entidades usuarias del sistema al (fecha) y sus auditores de las entidades usuarias
quienes tienen entendimiento suficiente para considerarla, junto con la otra información, incluyendo
información respecto a los controles implementados por las mismas entidades usuarias, al obtener
un entendimiento de la información y de los sistemas de comunicación de las entidades usuarias
pertinentes al proceso de preparación y presentación de información financiera. Confirmamos, de
acuerdo a nuestro mejor conocimiento y saber que:
a. la descripción presenta razonablemente al sistema (tipo o nombre de éste) puesto a
disposición de las entidades usuarias del sistema al (fecha) para procesar sus transacciones
(o identificación de la función efectuada por el sistema). Los criterios que utilizamos para
efectuar esta afirmación fueron que la descripción
i.
presenta como el sistema puesto a disposición de entidades usuarias del sistema fue
diseñado e implementado para procesar transacciones pertinentes, incluyendo
(1) las clases de transacciones procesadas
(2) los procedimientos, dentro de los sistemas automatizados y manuales,
mediante los cuales esas transacciones son iniciadas, autorizadas,
registradas, procesadas, corregidas en la medida necesaria y traspasada a
los informes presentados a las entidades usuarias del sistema.
(3) los registros contables relacionados, información de respaldo y cuentas
especificas que son utilizados para iniciar, autorizar, registrar, procesar e
informar transacciones, incluyendo esto la corrección de la información
errónea y cómo la información es traspasada a las entidades usuarias del
sistema.
(4) cómo el sistema capta y trata los hechos y las condiciones significativas,
distintos a las transacciones.
(5) el proceso utilizado para preparar informes u otra información
proporcionada a las entidades usuarias del sistema.
(6) objetivos de control especificado y controles diseñados para lograr esos
objetivos.
(7) otros aspectos de nuestro entorno de control, el proceso de evaluación de
riesgos, sistemas de información y de comunicación (incluyendo los
procesos de negocios relacionados), actividades de control y controles de
monitoreo que son pertinentes a procesar e informar las transacciones de
ii. no omite ni distorsiona información pertinente al alcance del sistema (tipo o nombre
de éste), mientras reconoce que la descripción se prepara para cumplir con las
necesidades comunes de un amplio rango de entidades usuarias del sistema y de los
auditores independientes de esas entidades usuarias, y por lo tanto, pueden no
incluir cada aspecto del sistema (tipo o nombre de éste) que cada entidad usuaria
individual del sistema y su auditor puedan considerar importante dentro de su
propio entorno en particular.
b. los controles relacionados con los objetivos de control indicados en la descripción fueron
diseñados adecuadamente y operaron con efectividad durante todo el período (fecha) a
(fecha) para lograr esos objetivos de control. Los criterios que utilizamos al efectuar esta
afirmación fueron que
i.
los riesgos que amenazan al logro de los objetivos de control indicados en la
descripción han sido identificados por la organización de servicios,
ii. los controles identificados en la descripción proporcionarían, si operaron según lo
descrito, una seguridad razonable que esos riesgos no impedirían que los objetivos
de control indicados en la descripción fueren logrados.

sección at 801 - Colegio de Contadores de Chile

Transcripción

Documentos relacionados

Excelente 5 Satisfactorio 4 Aceptable 3 Regular 2 Malo 1